هرچند که SDK متریکس با استف اده از کانالهای ارتباطی رمزنگاری شده نظیر HTTPs با سرورهای متریکس در ارتباط است این دادهها قابلیت ویرایش و خوانده شدن از سوی متقلبان را دارند.این اطلاعات استخراج شده طی یک «حمله» میتواند برای ایجاد نصبهای غیرواقعی و جعلی مورد استفاده قرار گیرد.
درست در همینجا است که امضای SDK متریکس به کمک شما خواهد امد.روشی که SDK متریکس یک امضا را از روی رمز اپ (مقداری که تنها در اختیار ناشر اپلیکیشن و متریکس است) محاسبه میکند به سرورهای متریکس این امکان را میدهد که صحت تمامی نصبهای آتی اپ را تأیید و تصدیق کنند.
اگر فرد متخلف دادههای مهمی (مانند زمان نصب یا شناسههای دستگاهها) را که در طول یک نصب ارسال میشود سرقت کند سروهای متریکس آنها را شناسایی و نصب مورد نظر را به عنوان نصب تقلبی لحاظ میکند.
منظور از رمز اپلکیشن یا App Secret مجموعهای از 5 عدد است که متریکس از این مقادیر برای رمزدار کردن دادههای کلیدی وخاصی به هنگام ارسال ترافیک SDK به سرور متریکس استفاده میکند؛ یعنی جایی که متریکس میتواند صحت نصبها را بر اساس این مقدار رمزشده تأیید کند.نکته مهم و اساسی در مورد رمز اپلکیشن این است که این پارامتر حتماً باید در قالب و فرمت متنی ساده plain text (دقیقاً به همان صورتی که از داشبورد متریکس دریافت میکنید) استفاده شود.
توصیه ما برای اثربخش بودن بیشتر، این است که برای هر یک از موارد زیر یک رمز جدید ایجاد کنید:
- پلتفرمهای متفاوت (iOS، اندروید و غیره) و
- انتشار هر ورژن جدید از اپلیکیشن
در بلاگ متریکس فیچر امضای SDK را معرفی کردهایم.از لینک زیر بخوانید:
قابلیت دیگری در متریکس: امکان امضاکردن کیت توسعه نرمافزار
-
ابتدا منوی تنظیمات اپلیکیشن را باز کنید.
-
سپس به بخش امضای SDK یا SDK Signature بروید.
-
شما میتوانید با فعالسازی قابلیت sdk signature در پنل خود و دریافت شناسه مخصوص خود، امنیت ارتباط و انتقال اطلاعات را افزایش داده و از سلامت آمار اپلیکیشن خود اطمینان بیشتری حاصل کنید.
-
پس از فعالسازی sdk signature در پنل خود، از ستون
Encoded
شناسه مربوط به signature را دریافت و طبق مستندات پیادهسازی SDK متریکس آن را داخل تنظمیات اپلیکیشن خود قرار دهید.
-
دادههای مربوط به امضای SDK چطور در داشبورد من ظاهر می شوند؟ نصب های تقلبی در بخش آمارهای مربوط به تقلب در داشبورد شما نمایش داده میشوند.نصبهایی که به دلیل داشتن امضای غیر معتبر رد شده محسوب میشوند تحت عنوان untrusted devices ظاهر میشود.
-
تفاوت میان یک امضای نامعتبر و یک امضای ناموجود (missing signature) چیست؟ یک امضا زمانی نامعتبر است که با امضایی که متریکس بر اساس رمز اپ شما مح اسبه میکند همخوانی نداشته باشد.این نوع امضاها دربردارندهی امضاهای تقلبی و امضاهایی است که از رمز اپهای غیرفعال شده محاسبه شده باشند.
اما امضای missing هنگامی است که یک نصب اپلیکیشن بدون هیچ امضایی به سرور برسد.نصبهای بدون امضا تنها درصورتی رد خواهند شد که گزینه SDK Signature enforcement یا اجبار برای امضای SDK فعال و روشن باشد. -
چطور میتوانم از نصبهای مردود در ترکر متریکس باخبر شوم؟
در صورتی که یک نصب به دلیل امضای SDK نامعتبر یا مفقود شده مردود و تقلبی اعلام شود میتوانید از طریق سیستم کال بک در لحظه (real-time callback) متریکس مطلع شوید.برای اینکه دلیل یک نصب تقلبی یا اتریبیوشن مجدد تقلبی را دریافت کنید {rejection_reason} را به کال بک نصب تقلبی خود اضافه کنید.
درصورتی که یک نصب به دلیل امضای SDK نامعتبر یا ناموجود (missing) رد شده و تقلبی محسوب شده باشد چنین پیامی را از طریق کال بک دریافت خواهید کرد:
rejected_install_reason=invalid_signature
نکته: امضاهای مفقود شده تنها زمانی رد میشوند که گزینه اجبار امضای SDK فعال و روشن باشد.