Android,如果制作签名的jks文件public,会不会有安全问题?
Android, would it be a security issue if jks file for signing is made public?
keyAlias
keyPassword
storeFile
storePassword
对apk文件进行签名时,需要以上四个参数。
如果我将 keyPassword 和 sorePassword 保密,但将 jks 文件设为 storeFile(不仅是路径,还有文件的内容)public,其他人是否能够伪造 apk只有 jks 文件而不是密码?
还有其他安全问题吗?
"would others be able to forge an apk with only the jks file and not the passwords?" - 是的,可以通过多种方式检索密钥库的密码,简单的一种是使用暴力破解和字典攻击。
看看这个 link:https://gist.github.com/zach-klippenstein/4631307
另外,不建议对您的密钥库文件进行 public。
keyAlias
keyPassword
storeFile
storePassword
对apk文件进行签名时,需要以上四个参数。
如果我将 keyPassword 和 sorePassword 保密,但将 jks 文件设为 storeFile(不仅是路径,还有文件的内容)public,其他人是否能够伪造 apk只有 jks 文件而不是密码?
还有其他安全问题吗?
"would others be able to forge an apk with only the jks file and not the passwords?" - 是的,可以通过多种方式检索密钥库的密码,简单的一种是使用暴力破解和字典攻击。 看看这个 link:https://gist.github.com/zach-klippenstein/4631307 另外,不建议对您的密钥库文件进行 public。