R
Я могу себя прописать опять же
Size: a a a
2018 May 08
QH
чузер можно подавить, если владеешь доменом, на который ведёт диплинк (Link verification)
R
чузер можно подавить, если владеешь доменом, на который ведёт диплинк (Link verification)
Исключено. Доменом же владеет он сам :)
R
чузер можно подавить, если владеешь доменом, на который ведёт диплинк (Link verification)
Кстати а сценарий атаки какой?
GK
Ну чисто в теории сделать малварь с бродкастресмвером.
это же активити?
QH
Исключено. Доменом же владеет он сам :)
да, это, наоборот, можно использовать себе во благо
R
это же активити?
Где?
GK
Есть ощущение, что это можно сделать (ну ясное дело root и вот это всё). Надо придумать как.
нет, ну если рут, то можно и куки напрямую прочитать из хранилища браузера, это неспортивно
GK
Где?
если из браузера открывать приложение по кастомной url-схеме
AB
@Harmonizr вот это предложил. Выглядит как рабочая штука
R
А за счёт чего там верифай? (Читать с телефона лень)
AB
комбинация манифеста и метаинфы на сайте
AB
[{
"relation": ["delegate_permission/common.handle_all_urls"],
"target": {
"namespace": "android_app",
"package_name": "com.mycompany.app1",
"sha256_cert_fingerprints":
["14:6D:E9:83:C5:73:06:50:D8:EE:B9:95:2F:34:FC:64:16:A0:83:42:E6:1D:BE:A8:8A:04:96:B2:3F:CF:44:E5"]
}
}]
"relation": ["delegate_permission/common.handle_all_urls"],
"target": {
"namespace": "android_app",
"package_name": "com.mycompany.app1",
"sha256_cert_fingerprints":
["14:6D:E9:83:C5:73:06:50:D8:EE:B9:95:2F:34:FC:64:16:A0:83:42:E6:1D:BE:A8:8A:04:96:B2:3F:CF:44:E5"]
}
}]
AB
вот такую штуку кладёшь с именем и публичным ключем
R
Хм... А что помешает другому приложению открыться по этой диплинке?
GK
Хм... А что помешает другому приложению открыться по этой диплинке?
как минимум несовпадающий сертификат?
QH
Хм... А что помешает другому приложению открыться по этой диплинке?
если верифицированное приложение установлено, оно откроется без чузера
R
если верифицированное приложение установлено, оно откроется без чузера
А, вот это уже разговор