¿Es seguro mantener un token oAuth codificado en una aplicación creada exclusivamente para uso personal?

2

He construido una aplicación para Android que solo voy a usar por mí. No está implementado en la tienda ni nada, lo descargo en mi teléfono con HockeyApp.

Sin embargo, esta aplicación tiene un token oAuth codificado como una cadena, que puede acceder a mis repositorios privados en Github. ¿Es esto un riesgo de seguridad? Realmente no quiero pasar por todo el proceso de implementación de un flujo de oAuth para generar un token a través de algún tipo de inicio de sesión, por lo que me gustaría dejarlo con código.

No soy exactamente el CEO de Google, por lo que es increíblemente improbable que alguien realice un intento malicioso de robar esas cosas de mi teléfono, aunque supongo que existe la posibilidad.

    
pregunta Bassinator 27.06.2018 - 00:22
fuente

1 respuesta

2

"Seguro" es un término relativo, y no es muy útil en un contexto de seguridad. Si es o no "seguro" depende de lo que protege y cómo lo usa. Si la aplicación controla el arsenal nuclear de los EE. UU. Y usted frecuentemente deja su teléfono desbloqueado en el mostrador de los baños públicos mientras visita Irán, diría que es terriblemente inseguro. Si solo acceda a su propio GitHub personal (que no contiene secretos de estado / comerciales o códigos de lanzamiento nuclear), entonces diría que es razonable.

Las credenciales de codificación en una aplicación que no compartes son tan seguras como su teléfono o computadora personal. Desde la perspectiva de la seguridad del teléfono, alguien que tenga acceso completo a su teléfono probablemente podrá recuperar la clave con la misma facilidad de la memoria del teléfono, ya sea que provenga de un flujo de oAuth o de un código fuente.

En el lado positivo, el hecho de que esté codificado de forma rígida significa que nadie puede atacar el flujo de oAuth, un riesgo de seguridad menos. Sin embargo, se almacena en texto plano en su computadora portátil (presumiblemente en el código fuente), un riesgo más para la seguridad. Una vez más, lo que es "mejor" depende de sus circunstancias y amenazas esperadas, pero para una persona típica que no está siendo directamente atacada por piratas informáticos expertos, probablemente no haya una gran diferencia.

    
respondido por el Conor Mancone 27.06.2018 - 01:33
fuente

Lea otras preguntas en las etiquetas