- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
我最近收到一封来自 Google 的邮件:
**安全警报:您的应用包含嵌入的私钥或 keystore 文件
此应用程序包含一个或多个私钥或 keystore 文件,这些私钥或 keystore 文件嵌入在其已发布的 apk 中,如本消息末尾所列。这些嵌入的项目可以被第三方访问,这可能会引发各种不同的安全问题,具体取决于 key 的用途。例如,如果私钥是您应用程序的签名 key ,则第三方可以签署和分发替换您的真实应用程序或破坏它们的应用程序。这样的一方也可以以您的身份签署和分发应用。
作为一般安全做法,我们强烈建议不要在应用中嵌入私钥和 keystore 文件,即使这些 key 受密码保护或混淆也是如此。保护您的私钥和 keystore 文件的最有效方法是不要传播它们。请尽早从您的应用程序中删除您的私钥和 keystore 文件。有关保护 key 安全的更多信息,请参阅 https://developer.android.com/tools/publishing/app-signing.html .
作为开发者,您有责任始终妥善保护您的私钥。请注意,存在漏洞的应用程序可能会使用户面临遭到破坏的风险,可能会被视为“危险产品”,并可能会从 Google Play 中移除。
org/bouncycaSTLe/openssl/test/data/rsa/openssl_rsa_unencrypted.pem**
我检查了我的 APK,我没有在我的应用程序中保存任何 keystore 或密码。因为我在应用程序中没有任何 .pem 文件。
在我的应用程序中,我使用的是 Crashlytics、droidText.Jar。因此,任何人都可以请教如何解决此错误。
最佳答案
警告是由 BouncyCaSTLe 目录下的 .pem
文件触发的 - .pem
文件通常是私钥的导出,实际上是一个 keystore (通常只是包含一个私钥,但仍然是 keystore 的一种形式),因此 Google 警告有关私钥或 keystore 文件。
BouncyCaSTLe 的东西很可能被您正在使用的其他东西作为依赖项拖入。
在我遇到的所有情况下,都是可以安全删除的测试数据。
您需要在您的 APK 中找到它并将其删除 - 删除整个 /test/data
路径应该足够安全。
关于android - 安全警报 : Your app contains embedded private keys or keystore files,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33867497/
当我在工作区执行 certsign.sh 脚本时,出现以下错误 jarsigner 错误:java.lang.RuntimeException: keystore 加载:无效的 keystore 格式
如何: 生成 keystore 生成信任库 为了让 SSL 在客户端和服务器之间工作,我只需要 的帮助使用终端命令(Keytool 和 openssl)生成用于相互身份验证的 keystore 和信任
keystore 和信任库之间有什么区别? 最佳答案 keystore 包含私钥以及证书及其相应的公钥。 信任库包含来自您希望与之通信的其他方的证书,或来自您信任的可识别其他方的证书颁发机构的证书。
我已经尝试使用命令 keytool -import -keystore *.jks -alias alias_name -keypass alias_passwd -file *.x509.pem`
我试图找出.keystore文件和.jks文件之间的区别,但我找不到它。我知道 jks 代表“Java keystore”,两者都是存储键/值对的一种方式。 使用其中一种与另一种相比有什么区别或偏好吗
我有一个包含多个客户端证书的 Java keystore 文件。我希望在我的 Java 应用程序中仅选择这些证书之一来连接到服务。有没有简单的方法可以做到这一点?到目前为止,我找到解决方案的唯一方法是
我想知道是否有一种方法可以检测程序是在默认(调试) keystore (从 eclipse 运行时)还是在签名 keystore (发布到 Android 市场时)上运行 我在我的应用程序中使用谷歌地
我是Java世界的新手,虽然使用NetBeans代码创建Web应用程序工作正常,直到执行get方法,但当我试图执行SQL查询时,glassfish无法显示来自MSQL DB的数据并给出错误。我正在使用
在 Azure 管道中有以下任务 AzureResourceManagerTemplateDeployment@3 从 ARM 模板部署 Key Vault 然后,AzurePowerShell@5
我正在使用以下命令使用 OpenSSL 创建 keystore : openssl pkcs12 -export -in mycert.crt -inkey mykey.key \
在 Azure 管道中有以下任务 AzureResourceManagerTemplateDeployment@3 从 ARM 模板部署 Key Vault 然后,AzurePowerShell@5
我使用下面的代码尝试加载 keystore 文件,但收到 java.io.IOException: 无效的 keystore 格式异常。关于如何解决此问题或导致问题的原因有什么想法吗? 加载 keys
我目前正在评估 Artifactory Pro 版本的 jar 签名功能。我正在按照此处找到的手册进行操作:https://www.jfrog.com/confluence/display/RTF/W
当我尝试将证书添加到 Keystore 时,我遇到了一个奇怪的错误。 System.out.println(x509Certificate.getPublicKey()); // prints pub
作为加密和保存数据的一部分,我们使用 AES 算法和 openssl 生成了 key 。 openssl enc -aes-256-cbc -P -nosalt Openssl 已生成 KEY 和 I
这个问题在这里已经有了答案: 关闭 11 年前。 Possible Duplicate: I lost my .keystore file! 我丢失了在 Market 上发布的 Android 应用
我不小心删除了我的应用程序的 .keystore 文件,但我仍然有用于生成 .keystore 文件的 Keystore 密码。有什么方法可以使用密码恢复该文件吗? 最佳答案 不,这不可能。一旦你失去
我正在访问一个 https URL,证书已添加到我的应用程序 keystore 属性中。 但是,目标 https URL 的证书最近发生了变化。 我们不想重新编译代码并使用更新后的 keystore
所以我有一个应用程序,允许用户使用 HTTPS 配置服务器。服务器使用 Undertow。要向 Undertow 添加 HTTPS 处理程序,我需要调用 Keystore.getInstance("J
这个问题在这里已经有了答案: Truststore and Keystore Definitions (7 个答案) 关闭 6 年前。 我有一个 PKCS#12我将其视为 keystore 文件,因
我是一名优秀的程序员,十分优秀!