2016-06-29 14 views
2

Der Apple App Store ermöglicht die Veröffentlichung eines Updates für eine Anwendung, auch wenn das Zertifikat verloren gegangen und neu erstellt wurde, aber Google Play Store lässt dies nicht zu.Warum benötigt Play Store dasselbe Zertifikat beim Aktualisieren einer App, aber App Store nicht?

Die Verwendung derselben Bundle-ID eignet sich für die Veröffentlichung einer Aktualisierung der Anwendung im Apple App Store. Daher kann beim Veröffentlichen der Aktualisierung der Anwendung ein neues Zertifikat verwendet werden.

Also, warum Google Play Store es nicht erlaubt? Ist es eine Sicherheitsschwäche, das zuzulassen? Oder der Google Play Store übertreibt die Sicherheit und benötigt unnötigerweise dasselbe Zertifikat?

Apple App Store allows it

Aber Google Play Store does not allow it

Antwort

0

Es ist einfach, Apple-Zertifikat kann nur von dem Besitzer des Kontos (oder der Hacker, der Zugriff darauf) generiert werden. Auch wenn das Zertifikat widerrufen wird, bekommt der Besitzer eine E-Mail zu diesem Thema => kein großes Problem für die Sicherheit.

Für Android kann jeder, der ein wenig Wissen über Android hat, einen Keystore generieren, den Namen des App-Pakets finden, und er kann ein Update auf Ihre App hochladen => große Sicherheitsprobleme.

Auf der anderen Seite, als Entwickler ist es Ihre Verantwortung, diese Schlüssel/Zertifikate zu generieren und an Ihren Kunden zu liefern und Ihrem Kunden mitzuteilen, dass sie wirklich wichtig sind und sie an einem sicheren Ort aufbewahrt werden sollten. Das ist, wie ich rolle: D

+0

Also, ich verstehe, dass nur Apple das Signing-Zertifikat ausstellt, aber für Android, konnte Entwickler Signierzertifikat generieren. Wenn Apple also die Identität signiert, ist uns bewusst, dass unser Zertifikat gelöscht wird. Aber wir würden nicht wissen, wenn ein neues Zertifikat für Android verwendet wird. Daher benötigt Android dasselbe Zertifikat, um die App zu identifizieren. – lockedscope

+0

Warum funktioniert der Play Store also nicht wie der App Store und verwaltet Zertifikate selbst? – lockedscope

+0

@lockedscope Was Sie sagen, ist korrekt, aber Sie müssen berücksichtigen, dass es zwei verschiedene Signierungsprozesse gibt, so dass es andere versteckte Probleme geben kann. Außerdem denke ich, dass Android eine Kombination aus Keystore SHA1 und Paketname verwendet, um Ihre App über verschiedene Plattformen wie Google Play und Google Console zu identifizieren. – danypata

1

Es hat wenig mit dem Play Store zu tun. Android erlaubt es nicht, aus Sicherheitsgründen. Malware-Autoren würden die Fähigkeit lieben, eine vorhandene App durch ihren durch Malware injizierten Ersatz zu ersetzen. Das Erzwingen einer übereinstimmenden Signatur ist eine der Möglichkeiten, die Android dies verhindert.