Android Obfuscation für Strings

[mysterix]

Hi,

ich verwende in meiner Android App Zugangsdaten / Credentials für eine Internetseite.
Ich frage mich nun, ob und wenn ja, wie es möglich ist, diese zu verschlüsseln oder ähnliches.

Wenn ich meine fertige .apk-Datei dekompiliere sehe ich nämlich die Strings, wie ich sie eingetippt habe. Das möchte ich natürlich verhindern.

Mit Proguard habe ich es hinbekommen die Variablennamen zu ändern. Das bringt natürlich nicht so viel für meinen Zweck.

Vielen Dank

 

[Joose]

Solche Daten sollten normalerweise in eine Konfigurationsdatei ausgelagert werden

 

[mysterix]

Und dann? Soll diese auf dem Android-Gerät liegen? Dann kommt man ja noch leichter ran, als wenn man die App dekompiliert. Und wenn sie auf einem Server liegt, kommt man ja auch dran, wenn man den Code dekompiliert und sieht, wo diese Datei liegt oder?

 

[Joose]

Naja du musst schon sagen um was für Daten es sich handelt bzw. wofür ....

Sind es die "Zugangsdaten" zur Datenbank für deine App? Wenn ja dann wäre es sowieso eine schlechte Idee die Datenbank direkt anzusprechen.

 

[mysterix]

Genau, es sind die Zugangsdaten für den Mysql-Server. Aber wie realisiert man das ganze dann am besten?
Per PHP? Oder mittels eigenen Server, auf dem eine Java-Anwendung läuft, die den Traffic / die Kommunikation handelt?

 

[Thallius]

Wie Du es lößt ist eigentlich egal. Wichtig ist nur, dass niemals ein Programm von aussen direkt auf eine DB zugreifen darf und kann. Die Zugangsdaten für die DB sind und bleiben immer auf dem Server selber.

Gruß

Claus

 

[Joose]

Genau wie Thallius schon sagt: Direkter Zugriff auf eine MySQL Datenbank sollte man vermeiden!
Eine mögliche Lösung hast du schon genannt: PHP wäre eine Möglichkeit, aber eine Java Webservice ist möglich

 

[mysterix]

Und kann man sagen, dass ein Java service sich eher anbietet als ein oder mehrere PHP-script/e?

Der Service müsste / sollte dann auf dem Server laufen, auf dem auch die DB läuft, ja?
Ich habe einen Server gemietet, auf dem die DB läuft. Dort kann ich aber keinen Java-Service starten oder? Ist ja keine VM oder ähnliches. Dann wird mir nichts ausser der Weg über die PHP Skripte bleiben oder?

 

[Joose]

Ja der Service sollte dann natürlich auf dem gleichen Server laufen wie die DB.
Achtung: Server oder Webspace? Das ist natürlich ein Unterschied.
Bei einem Webspace wird dir nur die Variante über PHP überbleiben bei einem Server musst du schaun was dein Anbieter dazu sagt.