Estoy usando la API de Dropbox. En la aplicación de ejemplo, incluye estas líneas:Almacenar claves de API en Android, ¿es suficiente obfusticación?
// Replace this with your consumer key and secret assigned by Dropbox.
// Note that this is a really insecure way to do this, and you shouldn't
// ship code which contains your key & secret in such an obvious way.
// Obfuscation is good.
final static private String CONSUMER_KEY = "PUT_YOUR_CONSUMER_KEY_HERE";
final static private String CONSUMER_SECRET = "PUT_YOUR_CONSUMER_SECRET_HERE";
Soy muy consciente del mantra 'El secreto no es de seguridad', y la ofuscación realmente aumenta sólo ligeramente la cantidad de esfuerzo necesario para extraer las claves. No estoy de acuerdo con su declaración "Obfusticación es buena". ¿Qué debería hacer para proteger las llaves? ¿Es obfusticación buena suficiente, o debería considerar algo más elaborado?
Lea amablemente la discusión sobre este tema aquí: https://groups.google.com/d/topic/android-developers/quD5gYIZ4Ig/discussion –