Android 应用转移给其他开发者
Android App transfer to other developer
有开发者有兴趣购买我的一个应用程序ps(唯一一个真正有用户的应用程序),这意味着我需要向他发送原始源代码、密钥库和请求Google 在此 link 之后进行传输:https://support.google.com/googleplay/android-developer/answer/6230247?hl=en
问题是:我所有的 apps 使用来自同一个密钥库的同一个证书。
所以我的问题是:新开发者是否有可能劫持我的任何其他 apps?
我认为答案是 "No. A device would allow another apk signed with the same certificate and with the same package name to update on the device, but Google Play wouldn't allow the developer to upload another app with the same package name as any of my other apps"。
但我不确定,我想了解更多技术细节。
正如我所说,我拥有的其他 apps 并不重要,我也可以取消发布它们。但我宁愿不,即使我这样做了,这个问题仍然有效。
ps.: 是的,现在我知道每个应用程序应该有 1 个证书。
您的应用程序包名称在 Play 商店中是唯一的。这是设备(和 Play 商店)识别您的应用程序的方式,因此必须是唯一的并且不能更改。 Android 将不允许您的用户安装两个具有相同包名的应用程序。
但是,将您的密钥库提供给其他开发人员仍然存在风险。 Play 商店在更新应用程序时使用两个门:
首先,您必须有权访问拥有该应用程序的帐户。
其次,您必须拥有使用正确密钥库签名的 APK
通过授予某人访问您的密钥库的权限,您可以删除两项安全检查中的一项。如果应用程序的新所有者可以访问您的开发者帐户,他们也可以重新发布其他应用程序。此新所有者还存在将密钥库和应用程序出售给将来可能做同样事情的其他人的风险。
理论上,如果您的帐户是安全的,那么您的其他应用程序也不会被劫持。
这个风险是否可以接受取决于你。
Would it be possible for the new developer to hijack any of my other
apps?
除非您将 keystore.
交给他,否则他不可能对您的任何其他应用程序做任何事情
您的 keystore 是您所有应用程序的密钥,切勿与任何人共享。在我的开发者帐户中使用您的 keystore 签名的应用永远不会让我对您自己的应用做任何事情。
任何人都可以使用不同的密钥库在 Play 商店中发布应用。
他们可以签署 APK 并鼓励您的现有用户旁加载它。侧载时,应用程序无法知道它是来自您还是他们。但是 Play 商店本身不允许他们上传您尚未转让给他们的应用。
通常情况下,当买家购买和使用其他应用程序使用的密钥的应用程序时,协议的一部分会包含一个小片段,说明买家必须保护该密钥。该协议无论如何都是双边的,因为理论上您可以通过旁加载已签名的 APK 来劫持他们的用户。
有开发者有兴趣购买我的一个应用程序ps(唯一一个真正有用户的应用程序),这意味着我需要向他发送原始源代码、密钥库和请求Google 在此 link 之后进行传输:https://support.google.com/googleplay/android-developer/answer/6230247?hl=en
问题是:我所有的 apps 使用来自同一个密钥库的同一个证书。
所以我的问题是:新开发者是否有可能劫持我的任何其他 apps?
我认为答案是 "No. A device would allow another apk signed with the same certificate and with the same package name to update on the device, but Google Play wouldn't allow the developer to upload another app with the same package name as any of my other apps"。
但我不确定,我想了解更多技术细节。
正如我所说,我拥有的其他 apps 并不重要,我也可以取消发布它们。但我宁愿不,即使我这样做了,这个问题仍然有效。
ps.: 是的,现在我知道每个应用程序应该有 1 个证书。
您的应用程序包名称在 Play 商店中是唯一的。这是设备(和 Play 商店)识别您的应用程序的方式,因此必须是唯一的并且不能更改。 Android 将不允许您的用户安装两个具有相同包名的应用程序。
但是,将您的密钥库提供给其他开发人员仍然存在风险。 Play 商店在更新应用程序时使用两个门:
首先,您必须有权访问拥有该应用程序的帐户。
其次,您必须拥有使用正确密钥库签名的 APK
通过授予某人访问您的密钥库的权限,您可以删除两项安全检查中的一项。如果应用程序的新所有者可以访问您的开发者帐户,他们也可以重新发布其他应用程序。此新所有者还存在将密钥库和应用程序出售给将来可能做同样事情的其他人的风险。
理论上,如果您的帐户是安全的,那么您的其他应用程序也不会被劫持。
这个风险是否可以接受取决于你。
Would it be possible for the new developer to hijack any of my other apps?
除非您将 keystore.
您的 keystore 是您所有应用程序的密钥,切勿与任何人共享。在我的开发者帐户中使用您的 keystore 签名的应用永远不会让我对您自己的应用做任何事情。
任何人都可以使用不同的密钥库在 Play 商店中发布应用。
他们可以签署 APK 并鼓励您的现有用户旁加载它。侧载时,应用程序无法知道它是来自您还是他们。但是 Play 商店本身不允许他们上传您尚未转让给他们的应用。
通常情况下,当买家购买和使用其他应用程序使用的密钥的应用程序时,协议的一部分会包含一个小片段,说明买家必须保护该密钥。该协议无论如何都是双边的,因为理论上您可以通过旁加载已签名的 APK 来劫持他们的用户。