Использование подписи приложения в качестве секретного ключа?

Question

Насколько безопасна подпись приложения в android, полученная с помощью следующего кода?

 sigs = this.getPackageManager().getPackageInfo(this.getPackageName(), PackageManager.GET_SIGNATURES).signatures; 
     privateKey = sig[0].hashCode(); 

Я думаю использовать подпись приложения в качестве закрытого ключа при общении с веб-сервером. Насколько безопасен этот подход?

Answer 1

Абсолютно небезопасно. Так называемая «подпись» - это сертификат подписи, и любой, кто может использовать WinZip, может извлечь его из вашего APK. Это не значит быть секретным, поэтому не рассматривайте его как таковое. Если вы хотите безопасно связываться с веб-сервером, используйте HTTPS (SSL).