Consumer Secretの保護を考えてた
狙われないようにマイナーなクライアント作る・使えばいいと思う。*1
ユーザーが自分でConsumer Secret用意すればいいじゃんとは結構真面目に思ってます。自分のマシンまでやって来られたら意味がありませんが、それならそれで普通にウイルスとして対策を練れそうですし。
- 難読化
- HMAC-SHA1計算ルーチンへアクセスさせない
- メモリ上の該当コードを他のプロセスから参照・呼び出しさせない
- カーネルあたりでなんとかしてくれれば・・・
- 今度はそのコードの取得or生成部分が狙われる
- 鍵を持たない
色々考えてみたけどどれも既出なんだろうな。
You should do your best to protect secrets but at the end, a highly motivated hacker can always get to it in an installed app. So it's the value of the secret vs. difficulty of extraction.
http://stackoverflow.com/questions/7121966/should-i-obfuscate-oauth-consumer-secret-stored-by-android-app