Joe*_*nez 4 security android amazon appstore-approval
我已经向亚马逊应用程序商店提交了一份申请,但它被拒绝了,并提供了以下详细信息:
密码等敏感信息在没有加密的情况下以明文形式回显
显然,不是一件好事......但是我已经查看了应用程序代码.用户的密码作为MD5哈希存储在私有首选项中(它直接从文本框到md5哈希到prefs,并且不会以明文的形式记录或写入.
当我们将请求发布到我们的Web API(通过http)时,我们发布一个带有用户名的标头,以及以下连接字符串(nonce + timestamp + passwordHash)的散列(以及其他一些位).
我假设它与标题中的数据有关,但由于它是我们发布的哈希哈希值(服务器将自己的密码与他知道的密码进行比较),我不确定为什么他们这样做对此有疑问.
关于如何解决这一特定故障的任何想法或想法将不胜感激:-)
谢谢!
只是关闭这个循环.我最后给亚马逊发了电子邮件,他们给了我更多详细信息......结果我在注册页面上以明文形式提交了密码.其他一切都很好.
我们最终获得了ssl证书并使用https注册用户并获得批准.希望能帮助其他人:-)