В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Android Guards

676 membersпожаловаться на группу
2018 May 21

T

Tishka17 in Android Guards
Так как корни обновляются редко
источник
09:34пожаловаться

YS

Yury Shabalin in Android Guards
Rtem
Минутка “лучших практик мобильной безопасности” для подтверждения номера телефона:
0. Не делай SSL пиннинг
1. Сгенеринуй код подтверждения на клиенте
2. Отправить этот код на сервер, который пошлет SMS
3. ??????
4. PROFIT!!!
Я тут недавно банковское приложение нашёл с локальной проверкой пинкода) И авторизацией на сервере по 2-м параметрам, которые в SharedPref хранятся.
источник
09:35пожаловаться

YS

Yury Shabalin in Android Guards
Тож ничо так)
источник
09:35пожаловаться

YS

Yury Shabalin in Android Guards
You
А если человек не обновится?
Зависит от приложения и от пользователей. Как вариант, некоторые банки делают для юриков - если не последняя версия, приложение не запускается
источник
09:36пожаловаться

D

Dmitry in Android Guards
Tishka17
С реальным у тебя просто будет работать
Не будет же, если сделать пипинг с реальным сертификатом, а без пининга это и так понятно что все будет работать, только если корневые не поменяются и это будет проблема на древних аппаратах.
источник
09:40пожаловаться

T

Tishka17 in Android Guards
Dmitry
Не будет же, если сделать пипинг с реальным сертификатом, а без пининга это и так понятно что все будет работать, только если корневые не поменяются и это будет проблема на древних аппаратах.
Если есть пиннинг, вообще пофиг самоподписанный сертификат или нет
источник
10:10пожаловаться

T

Tishka17 in Android Guards
или я не прав?
источник
10:11пожаловаться

D

Dmitry in Android Guards
Ну т.е. из-за самоподписного сертификата с пинингом никаких дополнительных рисков не появляется по сравнению с "настоящим" сертификатом и пинингом?
источник
10:11пожаловаться

AM

Andrey Makeev in Android Guards
А что значит "настоящий сертификат"?
Цепочка полписей нужна как раз для классической схемы
В случае пиннинга она не проверяется.
Или я не прав?
источник
10:13пожаловаться

AM

Andrey Makeev in Android Guards
Если я правильно помню базовый курс по криптографии:
Корневые серты как раз нужны если стороны не могли заранее обменяться сертами, однозначно их идентифицирующими. В тамом случае защита от MITM гарнатируется засчет того что цепочка подписей сходится к одному из корневых, сохраненном на устройстве. В данном случае стороны как раз обменялись заранее.
источник
10:17пожаловаться

AP

Alexey Pushkarev in Android Guards
Dmitry
Ну пусть не вечный, но хотябы не на 3 месяца, а на 1-3 года скажем.
sticker.webp
(30.33 Кб)
источник
10:39пожаловаться

D

Dmitry in Android Guards
Andrey Makeev
А что значит "настоящий сертификат"?
Цепочка полписей нужна как раз для классической схемы
В случае пиннинга она не проверяется.
Или я не прав?
Настоящий я имею в виду выданный удостоверяющим центром (обычно с ораниченным сроком), а не самопописанный.
источник
10:40пожаловаться

AM

Andrey Makeev in Android Guards
Ну в конечном счете SSL-серт не что иное как обертка для паблик ключа.
А наличие подписи удостоверяющим центром это гарантия происхождения (так как сертификат получается при первой транзакции с сервером и это мог бы быть MITM)
В слуаче пиннига ключ уже есть и из доверенного источника
Тем не менее выданный удостоверяющим центром дает пару преимуществ:
- его можно аннулировать в случае взлома сервера, обратившись в тот же центр (не проверял как оно работает в случае пиннинга, но пишут что должно)
- в случае если пиннинг сломается, все продолжит работать по классической схеме
- дает возможность другим клиентам работать с тем же беком без пиннинга
источник
11:01пожаловаться

D

Dmitry in Android Guards
Спасибо
источник
11:09пожаловаться
2018 May 22

R

Rtem in Android Guards
https://xakep.ru/2018/05/21/roaming-mantis/?amp&__twitter_impression=true
«Хакер»
Мобильный вредонос Roaming Mantis быстро распространяется по миру и заражает смартфоны через роутеры - «Хакер»
Специалисты «Лаборатории Касперского» предупреждают, что мобильная угроза Roaming Mantis расширяет список атакуемых стран и перестает быть локальной угрозой.
источник
16:29пожаловаться

R

Rtem in Android Guards
Не слышал про это еще
источник
16:29пожаловаться

GK

Gregory Klyushnikov in Android Guards
Rtem
Минутка “лучших практик мобильной безопасности” для подтверждения номера телефона:
0. Не делай SSL пиннинг
1. Сгенеринуй код подтверждения на клиенте
2. Отправить этот код на сервер, который пошлет SMS
3. ??????
4. PROFIT!!!
эээм, это где-то серьёзно что-то так работает?
источник
16:32пожаловаться

YS

Yury Shabalin in Android Guards
Gregory Klyushnikov
эээм, это где-то серьёзно что-то так работает?
Нет предела совершенству)
источник
16:34пожаловаться

GK

Gregory Klyushnikov in Android Guards
Rtem
https://xakep.ru/2018/05/21/roaming-mantis/?amp&__twitter_impression=true
«Хакер»
Мобильный вредонос Roaming Mantis быстро распространяется по миру и заражает смартфоны через роутеры - «Хакер»
Специалисты «Лаборатории Касперского» предупреждают, что мобильная угроза Roaming Mantis расширяет список атакуемых стран и перестает быть локальной угрозой.
ммм, вирусы, которые надо ставить вручную
источник
16:36пожаловаться

PC

Pavel Chmykh in Android Guards
😁
источник
16:37пожаловаться