《The Custom Permission Problem》部分译文

最新推荐文章于 2022-07-12 19:47:48 发布
翻译 最新推荐文章于 2022-07-12 19:47:48 发布 · 846 阅读 · 0

本文探讨了Android中自定义权限的潜在风险,特别是当多个应用程序定义相同权限时可能导致的问题。通过具体场景展示了不同应用如何定义和使用同一权限,并讨论了用户在安装应用时可能遇到的情况。
自定义用户权限问题


从一开始Android便提供了系统权限(由原生框架定义)和用户自定义权限(由应用定义).


不幸的是,自定义权限有一些“无证的局限性”使得它们存在内在的风险.特别地,自定义权限可能被任何人,任何时间,被定义,而且“先定义的权限为王”(原文:“first one in wins”),这些可能引发一些意外的行为.


在这里,我们将介绍一些场景并展示一些可能存在风险的问题,附带我们最好能做些什么来缓解这些问题.


情境


下面所有的场景都集中在3个主要的应用工程文件.


应用A定义了一个自定义的权限在他的manifest文件中,如:


<permission
    android:name="com.commonsware.cwac.security.demo.OMG"
    android:description="@string/perm_desc"
    android:label="@string/perm_label"
    android:protectionLevel="normal"/>


应用A也使用了“android:permission”属性并引用了这个权限来保护了一个组件:


<provider
    android:name="FileProvider"
    android:authorities="com.commonsware.cwac.security.demo.files"
    android:exported="true"
    android:grantUriPermissions="false"
    android:permission="com.commonsware.cwac.security.demo.OMG">
    <grant-uri-permission android:path="/test.pdf"/>
</provider>


应用B申明了一个这个权限,以此来获取被这个权限保护的组件使用权:
<uses-permission android:name="com.commonsware.cwac.security.demo.OMG"/>


应用C同样的申明了这个权限.区别在于应用B也有定义<permission>元素,正如应用A所做的,只不过有不同的描述信息(如:android:descriptioin)、不同的保护级别.


以上三个应用都是使用不同的签名key来生成APK的,因为现实时间里它们是来自于不同的开发者.


好,扼要重述一下:


应用A定义了一个permission并使用它来保护一个组件.


应用B定义了同样的一个权限并请求获取到它.


应用C仅仅获取了这个权限.


把这些都放到脑海之中,让我们走入一些可能的场景,同时集中思考下面两个问题:


1、当应用通过正常的方式(如:不是用命令“adb”)安装时,关于这个权限,用户能被告知什么?


2、若是存在应用A或B不得不通过应用A的“ContentProvider”获取数据的情况,又会怎样?


原文地址:https://github.com/commonsguy/cwac-security/blob/master/PERMS.md

uniapp -微信公众号H5网站使用微信扫一扫(微信扫码),苹果报错{“errMsg“:“scanQRCode:the permission value is offline verifying“}
🏆 前端领域优质创作者
07-18 1万+
uni-app,平台端,移动端h5网站,H5网页,公众号网页,就苹果ios不行,js-sdk,微信扫一扫,微信扫码,wx.scanQRCode,权限值为离线验证,依旧报错,还是不行怎么办,j公众号后台配置,苹果手机报错,只有ios提示错误,微信内置浏览器,微信网页,详细解决,调用jssdk的scanQRCode时,显示config成功。但是ios会报错,安卓没问题,安卓Android不报错,scanQRCode:thepermissionvalueisofflineverifying,就苹果IOS
Vue3 - 微信公众号H5网站使用微信扫一扫(微信扫码),苹果报错 {“errMsg“:“scanQRCode:the permission value is offline verifying“}
🏆 前端领域优质创作者
07-17 3867
vue3,nuxt3,移动端h5网站,H5网页,公众号网页,微信内置浏览器,微信网页,详细解决,调用jssdk的scanQRCode时,显示config成功。但是ios会报错,安卓没问题,安卓Android不报错,scanQRCode:thepermissionvalueisofflineverifying,就苹果IOS系统会提示错误,就苹果ios不行,js-sdk,微信扫一扫,微信扫码,wx.scanQRCode,权限值为离线验证,依旧报错,还是不行怎么办,j公众号后台配置,苹果手机报错,只有i
electron install error (permission problem)electron安装无法安装,权限问题解决!
qq_42376239的博客
06-27 2027
electron install error:"permission denied, mkdir '/Users/admin/Documents/xxxtestxxx/node_modules/electron/dist"解决方法: 如图安装electron报错信息。 解决方法: 解决方法: sudo npm install electron --unsafe-perm=true --allow...
permission denied problem in ubuntu
weixin_30336061的博客
12-16 107
Install problem in Ubuntu problem in make install install: cannot create regular file `/usr/local/bin/programname': Permission denied use sudo make install 转载于:https://www.cnblogs.com/greencolor...
PermissionError解决方案汇总
XerCis的博客
10-15 1万+
汇总各种PermissionError的解决方案
open62541 (R 1.1.2)中文文档 (译文)第四篇 (11 - 13)
じоνё靁〃N维空间
09-25 1682
open62541(R 1.1.2) 文档 注:原文PDF文档 是从官网下载的 Linux64bit的发布版本中自带的文档,原PDF中的源代码用PDF浏览器查看,有残缺。需要结合源文件中的示例代码进行相应的修改。或参考其它版本的文档。原文代码中的注释并没有译文,这个在使用时再补充进去。 目录11 通用定义11.1 Attribute Id11.2 Access Level Masks11.3 Write Masks11.4 ValueRanks11.5 Rule Handling11.6 Order11..
全新版大学英语综合教程第二册学习笔记(原文及全文翻译)——1B - Children and Money(小孩与金钱)
预见未来to50的专栏
12-27 4754
Unit 1B - Children and Money Finding a way of teaching children to appreciate the value of money can be a problem. Yet the solution, David Owen suggests, is simple -- just open a bank. Easier said than done? Well, it turns out to be not quite so difficult
字典查询(部分
热门推荐
myth_HG的专栏
05-28 14万+
#include #include #include using namespace std; const int enMax=46; const int chMax=256; const int attrMax = 66; const int spaceMax = 100; const int inputMax = 30; char atrrSum[13][attrMax]= {"n.","
A Study of WebRTC Security
paradox_1_0的博客
09-16 2435
Abstract Web Real-Time Communication (abbreviated as WebRTC) is a recent trend in web application technology, which promises the ability to enable real-time communication in the browser without the need for plug-ins or other requirements. However, the ope
【考研英语】词汇笔记与阅读日记
HYY的博客
07-12 2万+
注释:: 专业化 : 职业化 :业余爱好者 : 明确的,清楚的 :(僻)作比较例句: No clear-cut distinction can be drawn between xxx and yyy.: (超)含义,隐含意义 : 实验室 : 在…方面 : 首要,至高无上句中短语: on the primacy of research (“科研为本”):(僻)论文: 加强,使更强烈 : (僻)采用,推行 : 审阅,鉴定(专业文章)半句: a result that has been reinforced b
40篇英语短文搞定高考3500个单词
闲时不练功,忙时一场空
04-10 12万+
40篇英语短文搞定高考3500个单词 1. Fall in Love with English爱上英语 Hiding behind the loose dusty curtain, a teenager packed up his overcoat into the suitcase. He planned to leave home at dusk though there was thun...
微信公众号 scanQRCode:fail, the permission value is offline verifying
ruixuefine的博客
04-11 8671
1、公众号后台白名单 查看公众号后台配置有没有设置正确的安全域名和白名单等 2、确认config正确通过 3、如果是在页面加载好时就调用了JSAPI,则必须写在wx.ready的回调中 4、查看jsApiList是否添加了相应JSAPI router.beforeEach((to, from, next) => { // 获取权限验证配置(签名) 后端返回 getConfig, 注意返回字段的大小写! let res // 注入配置信息 wx.config({ .
解决Ubuntu18.04启动Docker“Got permission denied while trying to connect to the Docker daemon socket“问题
Lili Liang的博客
06-15 9万+
目录 1 问题描述 2 原因分析 3 解决方法 4 检查是否更新成功 1 问题描述 在终端执行"docker version"命令,出现如下报错: ”Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get http://...
android Manifest.permission normal权限合集
王学明
09-05 1461
名称 版本sdk 权限值 权限描述 ACCESS_LOCATION_EXTRA_COMMANDS Added in API level 1 android.permission.ACCESS_LOCATION_EXTRA_COMMANDS Allows an application to access extra location provider commands. ACCE...
嵌入式外设管理框架EPMF是一个专为机器人及工业控制领域设计的高可靠事件驱动可配置的嵌入式设备外设统一管理中间件它通过分层控制架构实现了应用层管理层与驱动层的清晰解耦.zip
12-30
嵌入式外设管理框架EPMF是一个专为机器人及工业控制领域设计的高可靠事件驱动可配置的嵌入式设备外设统一管理中间件它通过分层控制架构实现了应用层管理层与驱动层的清晰解耦.zip
运维-指针-24-动态内存和静态内存的比较.swf
12-30
运维-指针_24_动态内存和静态内存的比较.swf
多源动态最优潮流的分布鲁棒优化方法(IEEE118节点)(Matlab代码实现)
最新发布
12-30
多源动态最优潮流的分布鲁棒优化方法(IEEE118节点)(Matlab代码实现)内容概要:本文介绍了基于Matlab代码实现的多源动态最优潮流的分布鲁棒优化方法,适用于IEEE118节点电力系统。该方法结合两阶段鲁棒模型与确定性模型,旨在应对电力系统中多源输入(如可再生能源)的不确定性,提升系统运行的安全性与经济性。文中详细阐述了分布鲁棒优化的建模思路,包括不确定性集合的构建、目标函数的设计以及约束条件的处理,并通过Matlab编程实现算法求解,提供了完整的仿真流程与结果分析。此外,文档还列举了大量相关电力系统优化研究案例,涵盖微电网调度、电动汽车集群并网、需求响应、储能配置等多个方向,展示了其在实际工程中的广泛应用价值。; 适合人群:具备一定电力系统基础知识和Matlab编程能力的研究生、科研人员及从事能源系统优化工作的工程师。; 使用场景及目标:①用于研究高比例可再生能源接入背景下电力系统的动态最优潮流问题;②支撑科研工作中对分布鲁棒优化模型的复现与改进;③为电力系统调度、规划及运行决策提供理论支持与仿真工具。; 阅读建议:建议读者结合提供的Matlab代码与IEEE118节点系统参数进行实操演练,深入理解分布鲁棒优化的建模逻辑与求解过程,同时可参考文中提及的其他优化案例拓展研究思路。
This check looks for custom permission declarations whose names are reserved values for system or Android SDK permissions, or begin with the reserved string
07-27
在 Android 开发中,自定义权限(Custom Permissions)的声明需要特别注意命名规则,尤其是避免与系统权限或 Android SDK 中已保留的命名空间发生冲突。如果自定义权限的名称或前缀与系统或 SDK 中保留的关键字、命名空间重复,可能导致权限声明无效、运行时异常,甚至安全漏洞。 Android 要求所有自定义权限的命名必须遵循以下规则: - 自定义权限的名称必须以应用的包名为前缀,确保唯一性,例如 `com.example.myapp.permission.CUSTOM_PERMISSION`。 - 不得使用 `android.permission` 或 `com.android` 等系统保留的命名空间,否则系统会忽略该权限或抛出异常 [^4]。 - 避免使用与 Android SDK 中已有权限名称相同的字符串,例如 `READ_CONTACTS`、`INTERNET` 等。 如果开发者在 `AndroidManifest.xml` 中声明了与系统权限同名的自定义权限,系统将忽略该声明,这可能导致应用在请求该权限时出现不可预料的行为。此外,使用系统保留的前缀(如 `android.permission`)可能会导致应用在安装或运行时被拒绝执行,具体取决于 Android 版本和设备厂商的实现 [^5]。 为确保自定义权限不会与系统或 SDK 权限发生冲突,建议采取以下最佳实践: 1. 使用应用的包名作为权限名称的前缀。 2. 在声明权限前,查阅 Android 官方文档,确认所使用的权限名称未被系统或 SDK 占用。 3. 使用工具如 `aapt` 或构建时检查机制,验证是否存在命名冲突。 示例代码如下,展示如何在 `AndroidManifest.xml` 中正确声明一个自定义权限: ```xml <permission android:name="com.example.myapp.permission.ACCESS_SENSORS" android:label="Access Sensors" android:description="Allows the app to access sensor data." android:protectionLevel="normal" /> ``` 在代码中请求该权限的方式如下: ```java if (ContextCompat.checkSelfPermission(context, "com.example.myapp.permission.ACCESS_SENSORS") != PackageManager.PERMISSION_GRANTED) { ActivityCompat.requestPermissions(activity, new String[]{"com.example.myapp.permission.ACCESS_SENSORS"}, REQUEST_CODE); } ``` 若检测到命名冲突,可以使用 Android Lint 工具进行静态分析,识别潜在的命名问题。此外,构建流程中可以集成自动化脚本,扫描所有权限声明并比对系统权限列表,提前发现冲突。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值