Comments 14
Спасибо за совет, посмотрю, нельзя ли вынести в отдельный профиль, помимо rustore, сертификаты от МинЦифры.
судя по интерфейсу настроек, можно отдельно. а есть уже какой-то практический смысл так делать?
Ну, я не хочу на основном аккаунте иметь MitM, невзирая на невысокие риски в данном случае. А некоторые приложения (в моём случае – "Мой МТС") уже намекают на необходимость таких сертификатов, хотя пока живут без них.
Для браузера проблема решается просто – в яндекс-браузер они вроде вшиты, а файрфокс, кажется, имеет отдельное хранилище сертификатов, не системное. А вот приложения – только в песочницу отселять.
Кстати, я таки проверил: сертификат, установленный во втором профиле, ставится именно для юзера, в основном не виден и не влияет на браузер в нём.
Приложения из частного пространства видят рут?
Сегодня наконец собрался поиграться с такой конфигурацией. Выглядит так, будто есть фундаментальная проблема: rustore во втором пространстве может поставить любое приложение, и оно обновится (на версию из рустора) в основном пространстве.
Похоже, для тех, кто ищет безопасности – это всё-таки не подойдёт. Ну а пока просто отозвал у рустора разрешение на установку из неизвестных источников.
Для того, чтобы обновить приложение, уже стоящее в основном профиле, версия из Рустора должна быть подписана той же подписью.
Есть тот же Мирпэй, который нужно как-то обновлять, и он уже работает в основном профиле. Можно его поставить и в приватном, там он и будет обновляться из Рустора.
Версия в основном сохранит все данные, карточки не нужно будет добавлять заново.
Спасибо! Это важный аспект. Надо также удостовериться, что он не имеет возможности приложение снести и поставить заново (понятно, что с потерей всех данных, но, скорей всего, столкнувшись с таким – просто залогинишься в приложении заново).
Возможно, именно с этим случаем я столкнулся: при попытке обновить одно из установленных ранее в основном профиле (из apk, емнип) приложений он сказал, что обновление невозможно, и предложил его снести и поставить заново – но не смог :-)
Вообще у вас случайно нет ссылочки на какую-нибудь доку, где кратко разъясняется специфика установки/обновления (вот та самая проверка ключа – что делается при установке из apk, если приложение уже есть? какой permission отвечает за возможность удаления других приложений? и т.п.) и доку, разъясняющую специфику второго пространства (запускаются ли фоновые процессы из него или только доходят пуши и т.п.?)
У Android есть довольно неплохая документация, можно начать здесь https://developer.android.com/studio/publish/app-signing
Ага, спасибо, даже на русском.
Нашёл ответы на оба вопроса, про обновление по вашей ссылке ("когда система устанавливает обновление приложения, она сравнивает сертификаты в новой версии с сертификатами в существующей версии. Система разрешает обновление, если сертификаты совпадают"), про удаление в https://developer.android.com/reference/android/Manifest.permission#DELETE_PACKAGES ("Starting in Build.VERSION_CODES.N, user confirmation is requested when the application deleting the package is not the same application that installed the package").
И, судя по всему, дополнительная тонкость: при попытке удаления приложения из второго профиля – оно не удаляется из первого, а значит, и приложение-замену с другим ключом поставить невозможно.
Неожиданное использование «Частного пространства» (Private space) в Android 15