IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Android Discussion :

Sécurité achat in App


Sujet :

Android

  1. #1
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2012
    Messages
    92
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2012
    Messages : 92
    Par défaut Sécurité achat in App
    Bonjour,

    Je suis en train de développer une application où il sera possible d'acheter différent thèmes d'émoticones.
    Je voudrais savoir s'il est préférable de faire un téléchargement de toute l'application donc de bloquer le contenu à l'intérieur d'elle même ou de mettre le contenu dans une base sqlite.

    La premiere méthode me pose quelques problèmes au niveau de la securité. Et aussi imaginons que la personne supprime l'appli et la réinstalle pourra t-elle récupérer ses achats in app ?
    La seconde méthode je suppose que techniquement elle est possible bien que je ne me sois pas encore penché dessus.

    Je souhaiterais juste savoir laquelle de ces deux méthodes est la plus judicieuse.
    En vous remerciant d'avance de votre aide.

  2. #2
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    Août 2003
    Messages
    6 693
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2003
    Messages : 6 693
    Par défaut
    Je voudrais savoir s'il est préférable de faire un téléchargement de toute l'application donc de bloquer le contenu à l'intérieur d'elle même ou de mettre le contenu dans une base sqlite.
    Y'a pas de différence si ? Ta base sqlite sera quoi qu'il arrive dans ton appli

    pourra t-elle récupérer ses achats in app ?
    oui l'API d'achat in app propose la restauration des achats lié au compte.

    Si tu veux que tes achats de contenu soiett sécurisé , il ne faut pas qu'il soit dans ton application mais sur un serveur distant : http://developer.android.com/google/....html#unlocked
    Après pour l'implémentation j'ai pas trop de conseil ne l'ayant jamais fait.
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  3. #3
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2012
    Messages
    92
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2012
    Messages : 92
    Par défaut
    Y'a pas de différence si ? Ta base sqlite sera quoi qu'il arrive dans ton appli
    Justement je parlais d'avoir une base sqlite sur un serveur distant et non dans l'application.

  4. #4
    Expert confirmé Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    Septembre 2005
    Messages
    5 287
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : Septembre 2005
    Messages : 5 287
    Par défaut
    Bonjour,

    Le web, c'est une relation client-serveur. Ici, le serveur, c'est toi. Le client, c'est l'android qui télécharge ton appli. Es-tu vraiment sûr de vouloir que les clients aient en leur pouvoir le stock de ce qu'ils ont acheté (ou pas acheté) ? Une bidouille, et tu es ruiné. Cela dit, personne ne va hacker pour obtenir des smileys. Mais on ne sait jamais.

    En conclusion, à ta place, je gèrerais les commandes de façon industrielle par une base de données distante sur mon serveur.

  5. #5
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2012
    Messages
    92
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2012
    Messages : 92
    Par défaut
    Bonjour,

    je gèrerais les commandes de façon industrielle
    J'ai du mal à comprendre cette partie. Qu'entendez-vous par industrielle ?

    une base de données distante sur mon serveur
    Par contre j'ai pensé à quelque chose même si j'ai une base de donnée sur un serveur distant.
    Je vais bien devoir upload ces images sur le téléphone pour pouvoir les envoyer sans connexion internet non ?

  6. #6
    Expert confirmé Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    Septembre 2005
    Messages
    5 287
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : Septembre 2005
    Messages : 5 287
    Par défaut
    Il y a autant de différences entre la manière manuelle et la manière industrielle qu'entre un fichier excel et une base de donnée.

    Je vais bien devoir upload ces images sur le téléphone pour pouvoir les envoyer sans connexion internet non ?
    Hum. Oui. C'est le principe d'internet. La boutique ne disparaît pas quand on éteint l'ordinateur.

    Ton projet n'a pas l'air bien mûr. Quel est ton niveau ? Que sais-tu faire ? Quel est le but ?

  7. #7
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2012
    Messages
    92
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2012
    Messages : 92
    Par défaut
    Le but du projet est d'avoir une application avec des smileys ou il y a la possibilité d'acheter différent themes. Et d'ensuite les envoyer par mms, mail, ect...
    Niveau technique c'est la première application où je fais des achats in app.

    L'application est au stade où il est possbile d'envoyer des smileys et télécharger des thèmes. Sachant que les smileys sont stockés dans la mémoire du téléphone.
    J'ai aussi effectué une icône (un raccourci de l'application comme Emojidom) s'affichant sur les différentes applications de messagerie grâce à un service.

    Par rapport à cette question
    Je vais bien devoir upload ces images sur le téléphone pour pouvoir les envoyer sans connexion internet non ?
    La où je veux en venir c'est que si le téléphone est rooté il y aura facilité d'accès sur les fichiers puisque ceux-ci seront stockés sur le téléphone après l'achat effecuté.

  8. #8
    Expert confirmé Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    Septembre 2005
    Messages
    5 287
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : Septembre 2005
    Messages : 5 287
    Par défaut
    Les images sont accessibles à partir du moment où le client les voit

  9. #9
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2012
    Messages
    92
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2012
    Messages : 92
    Par défaut
    Donc y a aucun moyen pour protéger la diffusion des images ? Tout ce que je peux faire c'est "limiter la casse" en faisant une base sql et en uploadant les thèmes qui seront achetés.
    Et mettre une certaine protection sur les fichiers permissions, cachés, ect....

  10. #10
    Expert confirmé Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    Septembre 2005
    Messages
    5 287
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : Septembre 2005
    Messages : 5 287
    Par défaut
    Hum. Qui va acheter un thème qu'il aura déjà puisque le smartphone l'aura affiché ? A l'inverse, qui achètera un thème s'il ne le voit pas ?

    Ta base ne va rien gérer au final.

  11. #11
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2012
    Messages
    92
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2012
    Messages : 92
    Par défaut
    Donc je me prend la tête pour rien ?

    Dans l'état actuel de mon application si un utilsateur achéte des thèmes je les installe dans un dossier. Mais s'il les passe à une autre personne il suffit juste de coller ces thèmes dans
    le dossier correspondant.

    Je suppose que la solution est de vérifier les achats in app à l'aide des fonctions d'android. Ou alors de faire une base sql avec un boolean pour savoir si un thème a été acheté.

  12. #12
    Expert confirmé Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    Septembre 2005
    Messages
    5 287
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : Septembre 2005
    Messages : 5 287
    Par défaut
    re-Hum. Je pense que tu n'as pas compris. Tu n'en ai même pas au stade de savoir si tes images seront partagées illégalement. Tu en es au point où l'utilisateur surfant dans ton magasin verra les smileys et donc, par conséquent, les aura sur son smartphone et ne te les paiera pas.

  13. #13
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2012
    Messages
    92
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2012
    Messages : 92
    Par défaut
    D'accord mais si un utilisateur voit les images y a des centaines de façons de ne pas les payer en passant par la capture d'écran par exemple.
    Mais pour afficher les smileys il faut bien que je les stocke quelque part si ce n'est pas sur le téléphone sur un serveur distant ?

  14. #14
    Expert confirmé Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    Septembre 2005
    Messages
    5 287
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : Septembre 2005
    Messages : 5 287
    Par défaut
    Bien sûr que oui.
    Cela t'évitera de faire sortir une nouvelle mise-à-jour d'appli à chaque smiley ajouté dans ton catalogue.

  15. #15
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2012
    Messages
    92
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2012
    Messages : 92
    Par défaut
    Par rapport à un serveur distant, je voudrais savoir s'il est plus intéréssant de faire une requête post avec php en https bien sûr. [EDIT]et un serveur apache[/EDIT]
    Ou alors d'utiliser un serveur tomcat tel qu'expliquer dans ce tutoriel

  16. #16
    Expert confirmé Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    Septembre 2005
    Messages
    5 287
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : Septembre 2005
    Messages : 5 287
    Par défaut
    La deuxième solution mets en place des requêtes post en HTTPS. Je ne vois donc pas en quoi tes deux alternatives s'opposent.

    Qu'est-ce qui va héberger ta base ?

  17. #17
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2012
    Messages
    92
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2012
    Messages : 92
    Par défaut
    Justement c'est pour cette raison que je ne sais pas trop laquelle choisir. Je pense opter pour Apache connaissant mieux ce serveur et que c'est celui que je risque d'utiliser.

  18. #18
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2012
    Messages
    92
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2012
    Messages : 92
    Par défaut
    Bonjour,

    Mes images sont bien sur un serveur, j'arrive à y accéder a les télécharger. Tout est bien en https.
    Je stocke mes différentes images de cette façon :
    -nom_theme (un dossier)
    -image_1
    -image_2
    -image_3
    -ect....

    Comme pour le moment on peut y accéder depuis un lien dans le navigateur. Je voulais savoir si une protection par mot de passe (une variable à envoyer par exemple) serait une bonne solution. Ou peut être y en a-t-il des plus intelligentes ?

    Edit: Donc je suis tombé sur ceci http://www.developpez.net/forums/d18...istrer-photos/.

    Donc il n'y a pas moyen de protéger celles-ci si je veux les afficher ? Comme la connexion est en https est-ce que si une personne "snif" le réseau elle verra quand même l'url je suppose que oui ?

  19. #19
    Expert confirmé Avatar de Flodelarab
    Homme Profil pro
    Inscrit en
    Septembre 2005
    Messages
    5 287
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Charente (Poitou Charente)

    Informations forums :
    Inscription : Septembre 2005
    Messages : 5 287
    Par défaut
    Pour protéger un dossier de ton site (hébergement) par mot de passe, il faut que tu te penches sur le couple de fichiers .htaccess et .htpasswd

    Ainsi, tu pourras éviter l'exploration de tes dossiers.
    Et même si le vilain connaît l'URL valable, il faudra un mot de passe.
    Cherche aussi les règles du mot de passe (qui assure sa solidité).

  20. #20
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Septembre 2012
    Messages
    92
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2012
    Messages : 92
    Par défaut
    J'ai effectué une authentification en Digest avec le .htaccess et encoder mes chaînes en base 64. De plus mon dossier dans l'application est créé avec MODE_PRIVATE.

    Une question que je me pose mais qui n'a rien a voir avec la securité. Je me demande si l'utilisation d'une base SQL est vraiment nécessaire pour ce projet.
    Par exemple pour les achats in app je pourrais lister les dossiers déjà installés et afficher ainsi les autres à acheter. Mais une base SQL ne serait-elle pas plus propre, plus clair ?

Discussions similaires

  1. Google Wallet/Achats in-app, qu'en est-il ?
    Par Manu0086 dans le forum Android
    Réponses: 2
    Dernier message: 23/01/2014, 17h56
  2. sécurité avec Google App Engine
    Par taherlabidi dans le forum Cloud Computing
    Réponses: 0
    Dernier message: 17/10/2012, 17h31
  3. Réponses: 31
    Dernier message: 14/01/2011, 02h39
  4. Réponses: 15
    Dernier message: 17/12/2010, 00h37
  5. Réponses: 14
    Dernier message: 08/11/2010, 15h30

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo