我们有一个应用程序,我们希望发布这只是一个WebView,指向我们的密码保护的移动网站。目前我们计划允许用户访问WebView的“保存密码”功能,但我不确定这是否安全。
如果密码没有加密且安全地存储,那么我们现在必须简单地拒绝访问该功能,并在以后开发更长期的解决方案。
所以,问题是,是通过Android加密/安全的WebView保存密码吗?
答案 0 :(得分:4)
不,这不安全。
密码以纯文本形式存储(它们甚至没有哈希!),因此如果用户拥有root设备(或使用模拟器),那么他就可以进入数据库并窃取存储的密码位点。
我在存储WebView密码方面遇到了类似的问题而且我做了它,但它需要WebKit重新编译和使用启用了加密的自定义sqlitedb.so二进制文件。如果存储密码不是您正在开发的应用程序的最佳用例,我不建议这样做。一点点收获太多的努力。