Microsoft опубликовала дополнительные советы о том, как предотвратить взлом приложений Windows 8 Modern UI, хотя вам может показаться, что эта информация не так уж и полезна.
Microsoft опубликовала совет после статьи на прошлой неделе, в которой утверждалось, что приложения Windows 8 Modern UI можно легко взломать, чтобы превратить пробные версии в полные без оплаты. Статья была размещена на личном сайте сотрудника Nokia по имени Джастин Энджел, который раньше работал в Microsoft и является известным разработчиком.
Позже веб-сайт исчез, но в исходной статье подробно описаны пять слабых мест в модели приложений Windows Store. Ангел привел примеры того, как пользователи могут изменять IsoStore для компрометации покупок в приложениях, и как внедрение скриптов в процесс IE10 может достичь того же эффекта.
Он также показал, как можно редактировать файлы данных игры, чтобы изменить цену внутриигровых предметов, и как удалить рекламу из игр, редактируя файлы XAML. Наконец, он показал способы бесплатно конвертировать пробные версии в полные.
Чтобы быть справедливым по отношению к Ангелу, он также предложил исправления для этих слабых мест. В случае, если игры обманом заставляют думать, что внутриигровые элементы были куплены, Энджел предположил, что Microsoft могла бы предложить безопасное место, которое разработчики могли бы использовать для хранения. Он выдвинул предложение о том, что файлы XAML должны быть защищены от несанкционированного доступа и что процесс IE10 должен быть заблокирован для подписанных сценариев только тогда, когда он находится не на машине разработки.
Наконец, в случае преобразования пробных приложений в полные версии он предлагает, чтобы Microsoft разрешила разработчикам иметь две версии приложения — одну пробную и одну полную — с защитой системы покупки магазина Win8.
Первоначальный ответ Microsoft на статью состоял в том, чтобы направить людей, интересующихся статьей, к статье Центра разработки Windows о защите приложений Магазина Windows от несанкционированного использования: Защита приложения Магазина Windows от несанкционированного использования
В статье дается некоторая информация о методах, которые могут помочь, но в основном это сводится к тому, что «этого не происходит с Windows RT» и «хранить конфиденциальные данные на своем собственном сервере, а не в приложении». Оба утверждения верны, но на самом деле не решают проблему для большинства приложений.
Теперь новый пост в блоге о приложении для Windows 8 дает более подробные советы, хотя по-прежнему не учитывает моменты, поднятые Ангелом. Первый совет заключается в том, что вы компилируете свои приложения с помощью Visual Studio 2012, в котором, по словам Microsoft, есть более совершенные инструменты безопасности, помогающие защитить приложения от ряда распространенных атак. Это может быть правдой, но совет разработчикам изменить среду разработки, чтобы преодолеть проблемы безопасности, созданные не ими, — это слишком много! Не говоря уже о том, что большинство программистов Window 8 уже используют Visual Studio 2012.
Другие советы более практичны, но некоторые все еще находятся на уровне «не беги с ножницами». Например, «не доверяйте удаленным данным» и «запускайте приложение с самым низким уровнем привилегий» вряд ли достойны репортажа.