Od nowej wersji podglądu ADT (wersja 21) mają nowe ostrzeżenie o strzępach, które mówi mi następną rzecz w pliku manifestu (w znaczniku aplikacji):
Powinien jawnie ustawić Androida: allowBackup na true lub false (domyślnie jest to prawda, i może to mieć wpływ na bezpieczeństwo danych aplikacji)
Na oficjalnej stronie internetowej napisali:
Kilka nowych kontroli: musisz wyraźnie zdecydować, czy aplikacja zezwala na tworzenie kopii zapasowych i sprawdzenie etykiety. Dodano nową flagę wiersza poleceń do ustawiania ścieżki biblioteki. Wiele ulepszeń do przyrostowej analizy kłaczków podczas edycji.
Co to za ostrzeżenie? Co to jest funkcja tworzenia kopii zapasowych i jak z niej korzystać?
Ponadto, dlaczego ostrzeżenie mówi mi, że ma to wpływ na bezpieczeństwo? Jakie są wady i zalety wyłączenia tej funkcji?
Istnieją dwie koncepcje tworzenia kopii zapasowej manifestu:
- „Android: allowBackup ” pozwala na tworzenie kopii zapasowych i przywracanie za pomocą adb, jak pokazano tutaj :
Określa, czy zezwolić aplikacji na uczestnictwo w infrastrukturze tworzenia kopii zapasowych i przywracaniu. Jeśli ten atrybut ma wartość false, nie zostanie wykonana kopia zapasowa ani przywracanie aplikacji, nawet w przypadku kopii zapasowej całego systemu, która w przeciwnym razie spowodowałaby zapisanie wszystkich danych aplikacji przez adb. Domyślna wartość tego atrybutu to true.
Jest to uważane za problem z bezpieczeństwem, ponieważ ludzie mogą tworzyć kopie zapasowe aplikacji przez ADB, a następnie pobierać prywatne dane aplikacji na komputer.
Myślę jednak, że to nie problem, ponieważ większość użytkowników nie wie, co to jest adb, a jeśli to zrobi, będzie wiedziała, jak zrootować urządzenie. Funkcje ADB działałyby tylko wtedy, gdy urządzenie ma włączoną funkcję debugowania, a to wymaga włączenia przez użytkownika.
Tak więc dotyczy to tylko użytkowników, którzy podłączą swoje urządzenia do komputera i włączą funkcję debugowania. Jeśli mają na komputerze złośliwą aplikację korzystającą z narzędzi ADB, może to być problematyczne, ponieważ aplikacja może odczytać dane z prywatnego magazynu.
Myślę, że Google powinien po prostu dodać funkcję, która jest domyślnie wyłączona, w kategorii programistów, aby umożliwić tworzenie kopii zapasowych i przywracanie aplikacji przez ADB.
- „Android: backupAgent ” pozwala korzystać z funkcji tworzenia kopii zapasowych i przywracania w chmurze, jak pokazano tutaj i tutaj :
Nazwa klasy, która implementuje, jest agentem kopii zapasowej aplikacji, podklasą BackupAgent. Wartością atrybutu powinna być w pełni kwalifikowana nazwa klasy (na przykład „com.example.project.MyBackupAgent”). Jednak jako skrót, jeśli pierwszym znakiem nazwy jest kropka (na przykład „.MyBackupAgent”), jest ona dodawana do nazwy pakietu określonej w elemencie. Nie ma wartości domyślnej. Nazwę należy podać.
To nie jest problem bezpieczeństwa.