1) Verwenden Sie code obfuscation für ex. Proguard. Diese Art von Tools ist nicht nur für Java verfügbar. Aber seien Sie vorsichtig damit - verschleierter Code kann langsam arbeiten oder zusätzliche Fehler enthalten.
2) hinzufügen App Licencing Check (dies wird App Signatur mit Google Play) überprüfen:
Dieses Video sehen mit Aufmerksamkeit: https://www.youtube.com/watch?v=TnSNCXR9fbY Wie ich erinnere er Technik zur Laufzeit verwendet erwähnen Ihre überprüfen App nicht gehackt oder geändert (zip überprüfen, etc).
3) Stellen Sie sicher, dass Ihre App/Server eine sichere Verbindung (SSL/TLS) nur mit MODERN Cipher Suites verwendet. Dies verringert Downgrade-Angriffe.
können Sie diesen Generator verwenden Config mit modernen Chiffriersätze für Ihren Server zu bauen: https://mozilla.github.io/server-side-tls/ssl-config-generator/
Auch können Sie Zertifikat auf Clientseite pining verwenden - dies wird Autorität Angriff abzuschwächen.
Verwenden Sie keine einfache HTTP-Verbindung.
4) Verwenden Sie eine Art von Anfrage Unterzeichnung (wie Amazon AWS tut) Sie Kernidee von ihrem docs bekommen. http://docs.aws.amazon.com/general/latest/gr/sigv4_signing.html
Auch this article sollte hilfreich sein.
5) Verbieten Sie die Verwendung Ihrer App auf ROOT 'Ed-Geräte durch Hinzufügen von Laufzeit überprüfen. Durch das Telefon mit Root-Funktion ist es einfacher, Ihre App zu hacken oder zu analysieren.
6) Sie können Betrug verringern, indem Sie Ihrem Online-Spiel ein Sperrsystem hinzufügen - wenn jemand Ihre App hackt und falsche Daten an Ihren Server sendet => diesen Benutzer zur Sperrliste auf der Serverseite hinzufügen (per IP oder Benutzer-ID) , etc).Wahrscheinlich hinzufügen Benutzer zu dieser Liste vorübergehend (ex 24 Stunden, 7 Tage)
7) + Wenn Sie Json/XML als Datenformate für Netzwerkebene verwenden, versuchen Sie, Binärformat wie Protocol Buffers zu verwenden. Binäre Serialisierung Formate effizienter und schwer zu Reverse Engineering.
Was hätte er extra in der Post-Anfrage gefunden, was er mit einem Netzwerk-Snifler nicht finden konnte? – greenapps
@greenapps Eine Checksumme – Z0q
Felder in http-Header hinzufügen. – zakaiter