IC
А что мешает отдать свой серт в ответ на запрос обновлений?
Size: a a a
2018 December 25
IC
Там еще один пиннинг с еще одним сервером обновлений?
NK
бля, понятно…нет...)
Слышал некоторые компании это делают что бы всякие мосметро мусор не подкладывали, но таких единицы
NK
бля, понятно…нет...)
В любом случае, а зачем вы это делаете?
c
Там еще один пиннинг с еще одним сервером обновлений?
нет, у сервера обновлений самоподписанный сертификат, который и запинен в мобильное приложение, он на 10 лет и его никто не отзовет…тч отдать свой серт не полуится
IC
нет, у сервера обновлений самоподписанный сертификат, который и запинен в мобильное приложение, он на 10 лет и его никто не отзовет…тч отдать свой серт не полуится
А в чем проблема этим сертификатом подписать апишку?
c
А в чем проблема этим сертификатом подписать апишку?
браузеры красным гореть будут
IC
браузеры красным гореть будут
А как связаны браузеры и апи мобильного приложения?
c
у нас фронт и мобила в одно апи стучится
+хост один и тот же и серт вайлдкард
+хост один и тот же и серт вайлдкард
gh
Может кто-нибудь помочь с AOSP? Вот я установил всё, что нужно, а дальше как мне создать проект в Android Studio, чтобы он собирался с AOSP?
NK
А в чем проблема этим сертификатом подписать апишку?
Как ты себе это представляешь?)
NK
нет, у сервера обновлений самоподписанный сертификат, который и запинен в мобильное приложение, он на 10 лет и его никто не отзовет…тч отдать свой серт не полуится
Это должно работать, да
NK
Хотя если вдруг потеряете оригинальный ключ, неловко будет
c
В любом случае, а зачем вы это делаете?
посмотри ссылочку, которую админ кинул на кукбук, там даже картинока есть
NK
посмотри ссылочку, которую админ кинул на кукбук, там даже картинока есть
Т.е. вы защищаетесь от подмены центра сертификации, который сам пользователь сделает доверенным?
IC
Как ты себе это представляешь?)
А что не так? Запинил сертификат, отключил системную проверку и все. Другое дело, что через 10 лет сертификат таки истечет, но кому это интересно
IC
А вообще есть же вариант пиннинга intermediate-сертификата, тогда меньше проблем с продлением
А
Привет всем, я нашёл, что в KeyStore есть метод load, куда в теории может быть передан FileStream (для хранения ключей). Я так понял (изучив исходники), что эта возможность отключена в AndroidKeyStore, верно? Есть какая-нибудь гарантия, что она отключена везде?
R
2018 December 26
NB
Эх, весь движ в Москве