Как защитить чувствительные ключи в приложениях Adobe Air?

Question

Каковы наилучшие методы доставки приложения Adobe Air, для которого необходим секретный ключ для связи с каким-либо онлайн-API?

Приложения Adobe Air выглядят так, как будто они доставляются пользователю с полным исходным кодом, поэтому хранение любых ключей в источнике будет очень плохой идеей. Я прочитал несколько предложений, говорящих, чтобы загрузить ключ с вашего сервера, но это имеет ту же проблему, потому что URL-адрес, разрешающий загрузку, должен храниться в исходном коде. Кроме того, предложения, предлагающие хранить в зашифрованном локальном хранилище, также не имеют для меня смысла, потому что мне все же нужно каким-то образом получить частный ключ.

Answer 1

Я не думаю, что это глобальная проблема доставки секретных ключей в любом приложении, так как все может быть обратной инженерии (disasamble для исполняемых файлов, считыватели IL и т.д.)

Независимо от того, что вы делаете, если клиент приложение должно как-то «знать» секретный ключ, тогда пользователь может знать секретный ключ.

Предполагая, что:

1. Вы поставляете продукт («клиентское приложение»), который relys на некоторых веб-службы третьей стороной («услуга»).
2. Ваша компания имеет только один секретный ключ («ключ компании») для использования услуги.
3. Ключ компании никогда не должен подвергаться (из-за возможное злоупотребление)
4. Каждой часть информации, имеющейся или переданной клиентского приложением подвергаются

Решения может использовать некоторые прокси:

1. прокси реализует API сервиса
2. клиентское приложение подключается к прокси-серверу
3. прокси подключается к с е р в использовании компании ключ
4. Прокси делегаты все звонки от клиента к услуге и наоборот