Cordova Build.json のパスワード セキュリティ (Cordova Build.json password security)

問題の説明

Cordova Build.json のパスワード セキュリティ (Cordova Build.json password security)

apk をビルドして署名するときに、cordova が build.json ファイルの storePassword および password フィールドへのパスワードを求めるプロンプトを出すのに問題がありました。私が行った解決策は、それらを build.json ファイルに入力することです。

私の質問: build.json に手動でパスワードを入力するときにセキュリティ上の問題はありますか (パスワードが何らかの形で含まれているなど)。実際に署名された apk など)?

cordova プロジェクトのルートに build.json があるので、それは自動的に検出され、必要なことは次のとおりです:

cordova build android ‑‑release

. ..これが、私がこのルートをたどった理由です（うまくいきます）。ばかげた質問のように思えるかもしれませんが、Cordova のドキュメントには次のように記載されています。

"リリース署名については、

---

リファレンスソリューション

方法 1:

I believe the main reason is to avoid storing a password in a plain text in build.json and instead type it in console:

{
    "android": {
        "debug": {
            "keystore": "../android.keystore",
            "storePassword": "android",
            "alias": "mykey1",
            "password" : "password",
            "keystoreType": ""
        },
        "release": {
            "keystore": "../android.keystore",
            "storePassword": "",
            "alias": "mykey2",
            "password" : "password",
            "keystoreType": ""
        }
    }
}

or take from an environment variable: cordova run android ‑‑release ‑‑ ‑‑keystore=../my‑release‑key.keystore ‑‑storePassword=%STORE_PASS% ‑‑alias=mykey2 ‑‑password=password.

方法 2:

the passwords somehow being included in the actual signed apk

The build.json file won't get included in the final apk that gets built. You can verify this by unzipping the apk to cross‑check.

Hope that helps.

(by Sam、daserge、Mahendra Liya)

リファレンスドキュメント

1. Cordova Build.json password security (CC BY‑SA 2.5/3.0/4.0)