为什么 Play Store 在更新应用程序时需要相同的证书,而 App Store 不需要?
Why Play Store requires same certificate while updating an app but App Store does not?
Apple App Store 允许发布应用程序更新,即使证书丢失并重新创建也是如此,但 Google Play Store 不允许。
使用相同的 bundle id 可以将应用程序更新发布到 Apple App Store,因此可以在发布应用程序更新时使用新证书。
那么,为什么 Google Play 商店不允许呢?允许它是安全漏洞吗?或者 Google Play 商店夸大了安全性并且不必要地要求相同的证书?
苹果应用商店
但是 Google Play 商店 does not allow it
与Play商店关系不大。出于安全原因,Android 不允许这样做。恶意软件作者会喜欢用注入恶意软件的替代品替换现有应用程序的能力。要求匹配签名是 Android 防止这种情况发生的方法之一。
很简单,Apple 证书只能由帐户所有者(或获得访问权限的黑客)生成。此外,如果证书被吊销,所有者将收到一封关于此事的电子邮件 => 这对安全来说不是一个大问题。
对于Android,任何对Android有一点了解的人都可以生成一个密钥库,找到应用程序包名称,然后就可以了,he/she可以上传更新到您的应用 => 巨大的安全问题。
另一方面,作为开发人员,您有责任生成这些 keys/certificates 并将它们交付给您的客户,并向您的客户说明它们非常重要并且应该存储在安全的地方。这就是我的方式 :D
Apple App Store 允许发布应用程序更新,即使证书丢失并重新创建也是如此,但 Google Play Store 不允许。
使用相同的 bundle id 可以将应用程序更新发布到 Apple App Store,因此可以在发布应用程序更新时使用新证书。
那么,为什么 Google Play 商店不允许呢?允许它是安全漏洞吗?或者 Google Play 商店夸大了安全性并且不必要地要求相同的证书?
苹果应用商店
但是 Google Play 商店 does not allow it
与Play商店关系不大。出于安全原因,Android 不允许这样做。恶意软件作者会喜欢用注入恶意软件的替代品替换现有应用程序的能力。要求匹配签名是 Android 防止这种情况发生的方法之一。
很简单,Apple 证书只能由帐户所有者(或获得访问权限的黑客)生成。此外,如果证书被吊销,所有者将收到一封关于此事的电子邮件 => 这对安全来说不是一个大问题。
对于Android,任何对Android有一点了解的人都可以生成一个密钥库,找到应用程序包名称,然后就可以了,he/she可以上传更新到您的应用 => 巨大的安全问题。
另一方面,作为开发人员,您有责任生成这些 keys/certificates 并将它们交付给您的客户,并向您的客户说明它们非常重要并且应该存储在安全的地方。这就是我的方式 :D