Concretamente quiero ofrecer la posibilidad de quitar la publicidad en mis apps, sin hacer una versión diferente, como compra in-app.

El tema es que, sin usar servidor, cualquier cosa (flag, token, variable) que almacenes en el dispositivo es susceptible del método backup/restore, léase backup de algo con cosas desbloqueadas y restauración en cualquier otro dispositivo.

Periódicamente se podría comprobar si el elemento está comprado directamente a Google Play. Sin embargo parece que hay quotas a la hora de consultar, ¿de qué orden de quota hablamos, una a a la hora, una al día...? ¿usáis los pagos in-app?

Yo creo que puedes encriptar usando el id del dispositivo + el nombre de la aplicacion, para generar la clave. No evitas que te descompilen la aplicacion pero si ese método que mencionas

Gracias por la sugerencia, es una opción, aunque requiere pedir el permiso de "Leer identidad y estado del teléfono" -y como mis usuarios sean igual de paranoicos que yo, ni la instalarían-.

He estado pensando que en el caso relativo a la publicidad, si el usuario es root ya se habrá instalado un adblocker, así que lo del backup/restore va a dar igual porque no le hará falta xD Para los que no son root vale una entrada en las preferencias (como si es "ads = true") porque no pueden cambiarla.

Yo creo que puedes encriptar usando el id del dispositivo + el nombre de la aplicacion, para generar la clave. No evitas que te descompilen la aplicacion pero si ese método que mencionas

Hola

Estoy daría problemas si el usuario instala la aplicación en varios dispositivos.

Un saludo.

Me está pareciendo un poquito verde e innecesariamente complicado el servicio de pagos in-app. Tanto por el tema de la seguridad como por el de la gestión.

Lo de tener que meter la clave pública del desarrollador me ha dejado a cuadros, ¿desde cuando tengo yo que comprobar que el servidor de Google Play es quien dice ser y comprobar la firma? ¿Y por qué tengo que guardar las transacciones si ya está el Google Play instalado?

Me está pareciendo un poquito verde e innecesariamente complicado el servicio de pagos in-app. Tanto por el tema de la seguridad como por el de la gestión.

Lo de tener que meter la clave pública del desarrollador me ha dejado a cuadros, ¿desde cuando tengo yo que comprobar que el servidor de Google Play es quien dice ser y comprobar la firma? ¿Y por qué tengo que guardar las transacciones si ya está el Google Play instalado?

Toda la razón. Yo quiero hacer exactamente lo mismo y, como dices tú, muy verde está esto...

Enviado desde mi LG-P970 usando Tapatalk

Después de consultar con la almohada, he llegado a la conclusión de que la complejidad añadida es para que sea compatible con cualquier versión del SDK. Por eso hay que montar el tinglado del servicio, el receptor, etc. Lo que no entiendo es por qué Google no ofrece una biblioteca por encima que simplifique todo y sea segura.

En realidad, integrar es casi todo hacer copy-paste del ejemplo del Dungeons que indican en la web. Solo hay que cambiar la clase Security para meter la clave ofuscándola un poco. En el ResponseHandler cambiar si quieres dónde guardar las cosas (en el ejemplo lo guarda en una DB sin seguridad alguna), y en el PurchaseObserver poco hay que hacer más que lo que pida la lógica de la app.

Como comentaba antes, si es para quitar los anuncios, no hay que complicarse la vida con la seguridad... al fin y al cabo al hacker le es más fácil usar un bloqueador de anuncios que andar trasteando en la aplicación.

Tal vez saque la primera versión de mi nueva app que estoy preparando sin el tema de las in-app purchases. Dejaré puesto ya el permiso de BILLING, eso sí, que muchos usuarios se mosquean si cambias los permisos en cada actualización.