Depuis la nouvelle version d'aperçu ADT (version 21) , ils ont un nouvel avertissement de peluches qui m'indique la prochaine chose sur le fichier manifeste (dans la balise d'application):
Devrait définir explicitement android: allowBackup sur true ou false (c'est vrai par défaut, et cela peut avoir des implications de sécurité pour les données de l'application)
Sur le site officiel , ils ont écrit:
Quelques nouvelles vérifications: vous devez explicitement décider si votre application autorise les sauvegardes et une vérification d'étiquette. Il y a un nouvel indicateur de ligne de commande pour définir le chemin de la bibliothèque. De nombreuses améliorations de l'analyse incrémentielle des peluches lors de l'édition.
Quel est cet avertissement? Qu'est-ce que la fonction de sauvegarde et comment l'utiliser?
De plus, pourquoi l'avertissement me dit-il que cela a des implications sur la sécurité? Quels sont les inconvénients et les avantages de désactiver cette fonction?
Il existe deux concepts de sauvegarde pour le manifeste:
- "android: allowBackup " permet de sauvegarder et restaurer via adb, comme illustré ici :
Indique s'il faut autoriser l'application à participer à l'infrastructure de sauvegarde et de restauration. Si cet attribut est défini sur false, aucune sauvegarde ou restauration de l'application ne sera jamais effectuée, même par une sauvegarde complète du système qui autrement entraînerait la sauvegarde de toutes les données d'application via adb. La valeur par défaut de cet attribut est vraie.
Ceci est considéré comme un problème de sécurité car les gens pourraient sauvegarder votre application via ADB et ensuite obtenir les données privées de votre application sur leur PC.
Cependant, je pense que ce n'est pas un problème, car la plupart des utilisateurs ne savent pas ce qu'est adb, et s'ils le savent, ils sauront également comment rooter l'appareil. Les fonctions ADB ne fonctionneraient que si le périphérique a la fonctionnalité de débogage activée, et cela nécessite que l'utilisateur l'active.
Ainsi, seuls les utilisateurs qui connectent leurs appareils au PC et activent la fonction de débogage seraient affectés. S'ils ont une application malveillante sur leur PC qui utilise les outils ADB, cela pourrait être problématique car l'application pourrait lire les données de stockage privé.
Je pense que Google devrait simplement ajouter une fonctionnalité qui est désactivée par défaut, dans la catégorie développeur, pour permettre la sauvegarde et la restauration des applications via ADB.
- "android: backupAgent " permet d'utiliser la fonction de sauvegarde et de restauration du cloud, comme illustré ici et ici :
Nom de la classe qui implémente l'agent de sauvegarde de l'application, une sous-classe de BackupAgent. La valeur d'attribut doit être un nom de classe complet (tel que "com.example.project.MyBackupAgent"). Cependant, en raccourci, si le premier caractère du nom est un point (par exemple, ".MyBackupAgent"), il est ajouté au nom de package spécifié dans l'élément. Il n'y a pas de défaut. Le nom doit être spécifié.
Ce n'est pas un problème de sécurité.