Dès que le calendrier des sessions pour les développeurs de Google I / O 2012 a été annoncé, je savais que la session Sécurité et confidentialité dans les applications Android allait être une session à ne pas manquer. Internet et sa machine FUD confèrent à la sécurité Android beaucoup de mauvaise presse, et même si une partie de celle-ci est justifiée, elle n’est en partie que du sensationnalisme. Android est un grand nom et les grands noms dans les gros titres vendent des journaux.
Je suis si heureux de me sentir obligé d'assister à celui-ci. Les présentateurs (Jon Larimer, ingénieur en sécurité sur Android, et Kenny Root, ingénieur en sécurité et framework Android,) ont fait un travail remarquable. Certes, il était orienté développeur, mais il était conçu de manière à ce que même les codeurs débutants (ou les anciens rouillés) puissent comprendre. L’essentiel de tout cela était généralement Google et généralement ouvert - les outils et méthodes permettant de fournir une application Android très sécurisée sont là, les développeurs doivent les utiliser correctement. Le modèle de marché ouvert d'Android signifie qu'il n'y a personne pour examiner toutes les applications avant de les utiliser dans Google Play. Avec le chargement latéral facile, pratiquement tout code peut trouver son chemin sur votre appareil. (Espérons qu'avec votre connaissance.) Il appartient aux développeurs d'utiliser les outils pour créer une application sûre, sécurisée et utile. On dirait que Google laisse passer la responsabilité en matière de sécurité ici, mais nous devons nous rappeler que l’alternative consiste en un jardin figé d’un modèle pervers d’entreprise comme Apple, qui contrôle tout ce qui entre ou sort d’un téléphone que vous avez payé. Je préfère le modèle ouvert, et j'imagine que la plupart d'entre vous qui êtes en lecture seront d'accord
Les bases, telles que le bac à sable d’Android, ont été abordées, de même que certaines idées originales, comme le risque des conteneurs Web et du cryptage fait maison. Nous avons vu des exemples montrant comment utiliser les autorisations correctes des applications (et uniquement les autorisations appropriées), la sécurité du compte de développeur pour protéger votre nom en toute sécurité dans Google Play, et même la nature peu sûre de la connexion en ligne. Larimer et Root ont fait un excellent travail en informant les participants (la salle était si encombrée qu'ils ont dû renvoyer des personnes pour se conformer au code de sécurité incendie) sur les dangers existants et sur les outils permettant de les combattre. C’est le parfait exemple de la raison pour laquelle Google I / O est important pour nous tous: les développeurs ont besoin d’écouter ces informations. En bref:
- Nos appareils mobiles regorgent de données très importantes (pour nous) et privées.
- Les applications doivent être conçues pour protéger les données.
- Toutes les données exposées à votre application doivent être sécurisées.
- Android utilise le sandboxing des applications et le modèle de sécurité et d'autorisations Linux. Vous devez donc vous méfier de ce que les autres applications vont demander à votre application de faire pour elles.
- Les autorisations sont de la plus haute importance. Apprenez ce que chacun fait et utilisez seulement ceux que vous devez.
- Les intentions et les API doivent être utilisés à la place des autorisations globales.
- Votre nom (les développeurs) est sur l'étain. Prenez le temps de vous assurer que votre produit est sécurisé et que les informations des utilisateurs restent confidentielles.
C'est un ensemble de directives relativement simple, avec environ un million de façons de se tromper. Heureusement, Google est prêt et disposé à aider avec des sessions comme celle-ci, ainsi que dans divers bourrages de code et lieux de rencontre de développeurs à travers le monde.
Ce qui était au départ quelque chose que je pensais devoir assister, que cela plaise ou non, s’est avéré être le point culminant de tout l’événement pour moi. Google accorde une grande importance à la sécurité de vos applications et à votre confidentialité, et souhaite aider chaque développeur à créer de super applications qui préservent la sécurité des données des utilisateurs. Si vous n'êtes pas un développeur Android, vous pouvez être sûr que Google connaît les problèmes et fait tout ce qui est en son pouvoir pour assurer votre sécurité. Si vous êtes développeur, vous devez vous connecter. Nous avons la vidéo (environ une heure) et une galerie de quelques faits saillants après la pause.
