Спасибо за видео! Вопрос немного не по теме, но вот Вы говорите, что недолюбливаете SqlCipher и лучше шифровать отдельные поля в БД. Но есть ли альтернатива, когда в приложении нужен fts поиск по зашифрованным данным?
Короткий ответ: альтернативы нет. Но если копать чуть глубже, то сразу возникает желание разобраться в этой потребности подробнее. Если приложение клиент-серверное, то зачем нужен поиск на клиенте по зашифрованным данным? Какую бизнес-потребность это закрывает? Если это не клиент-серверное приложение, то тут все несколько сложнее, но тоже нужно разбирать конкретный кейс. Тот же sqlcihper можно пытаться готовить более-менее правильно, но все эти приседания выльются в дополнительные работы и в этом моменте нужно считать, что экономически выгоднее делать шифрованную БД на клиенте с помощью sqlcipher и заморачиваться с ключами для него или забить на FTS.
Весь код, который показывал на стриме можно взять тут: github.com/Android-Guards/storing-api-keys
Получилось очень интересно. Развеивание мифов безопасности
Путь с дизассемблером более универсальный: ключи вытащить/пропатчить и тд.
а насколько этот процесс будет отличатся если будем иметь дело с рилизным билдом а не дебажным, и что если это app bundle а не apk?
Спасибо за видео! Вопрос немного не по теме, но вот Вы говорите, что недолюбливаете SqlCipher и лучше шифровать отдельные поля в БД. Но есть ли альтернатива, когда в приложении нужен fts поиск по зашифрованным данным?
Короткий ответ: альтернативы нет. Но если копать чуть глубже, то сразу возникает желание разобраться в этой потребности подробнее. Если приложение клиент-серверное, то зачем нужен поиск на клиенте по зашифрованным данным? Какую бизнес-потребность это закрывает? Если это не клиент-серверное приложение, то тут все несколько сложнее, но тоже нужно разбирать конкретный кейс. Тот же sqlcihper можно пытаться готовить более-менее правильно, но все эти приседания выльются в дополнительные работы и в этом моменте нужно считать, что экономически выгоднее делать шифрованную БД на клиенте с помощью sqlcipher и заморачиваться с ключами для него или забить на FTS.
@@AndroidGuards спасибо за развёрнутый ответ 👍