В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Android Guards

676 membersпожаловаться на группу
2019 April 08

IC

Ilya Chirkov in Android Guards
Igor Fedorchuk
как я понимаю, не нужно выпускать для этого же домена. Выпустит для своего домена.
Pin further up. Say the first intermediate or the root CA cert. So any newly issued cert is still trusted (providing it's issued by same cert path) The downside of this is four fold: i) You still leave yourself open to miss-issued certs issued by that pinned cert (not a massive deal IMHO as you've still massively reduced your attack surface but still a concern to some people), ii) you cannot guarantee the client will use that intermediate cert as there are sometimes multiple valid paths. This second one is a much bigger deal. You'd think that providing the intermediate cert would guarantee this would be used but that's not the case (plenty of sha-1 examples of this). iii) There's no guarantee new cert will be issued by same intermediate or root (especially when technologies change like introduction of sha2), so to me this whole option is a non-starter iv) It ties you in to using same cert provider (perhaps not a big deal but I like the freedom to move). Not sure if apps support this feature natively anyway but browsers certainly do.
А что мешает при пиннинге проверять, для какого домена сертификат?)))
источник
16:17пожаловаться

IF

Igor Fedorchuk in Android Guards
Ilya Chirkov
А что мешает при пиннинге проверять, для какого домена сертификат?)))
если сертификат выпущен для одного домена, то он не корневой
источник
16:26пожаловаться

IC

Ilya Chirkov in Android Guards
Igor Fedorchuk
если сертификат выпущен для одного домена, то он не корневой
Так я про проверку сертификата сервера говорю
источник
16:26пожаловаться

IF

Igor Fedorchuk in Android Guards
Ilya Chirkov
Так я про проверку сертификата сервера говорю
можешь объяснить на примере?
источник
16:28пожаловаться

IC

Ilya Chirkov in Android Guards
Igor Fedorchuk
можешь объяснить на примере?
источник
16:29пожаловаться

IC

Ilya Chirkov in Android Guards
Вот, сертификат сервера именно для твиттера
источник
16:29пожаловаться

IF

Igor Fedorchuk in Android Guards
Ilya Chirkov
понятнее не стало
источник
16:31пожаловаться

IC

Ilya Chirkov in Android Guards
Igor Fedorchuk
понятнее не стало
Тогда стоит разобраться, как HTTPS работает
источник
16:31пожаловаться

IF

Igor Fedorchuk in Android Guards
🙈 ок, я понял. Еще идеи будут?
источник
16:32пожаловаться

K

Konstantin in Android Guards
Rtem
Ключи от пина не надо хранить в кейсторе. Там схема не такая. Если у тебя просто пин, то ключи хранить вообще не надо, если есть ещё биометрия, то шифруй полученным сайфером ключ от пина и храни его в префах
Сори за тупой вопрос, а как тогда лучше поступить если просто пин, без биометрии?
источник
19:34пожаловаться

R

Rtem in Android Guards
Konstantin
Сори за тупой вопрос, а как тогда лучше поступить если просто пин, без биометрии?
При вводе пина считать ключ каждый раз
источник
21:21пожаловаться
2019 April 09

A

Andre in Android Guards
Каким путем  с дампа памяти достать все строки и найти там пароль или еще что-то? Какие есть инструменты, может кто в курсе?)
источник
16:54пожаловаться

c

cyber in Android Guards
Fridump
источник
17:04пожаловаться

c

cyber in Android Guards
И стандартный вьювер от эклипса, забыл название:-/
источник
17:04пожаловаться

A

Andre in Android Guards
cyber
И стандартный вьювер от эклипса, забыл название:-/
Да,OQL) спасибо не знал про Fridump
источник
17:09пожаловаться

А

Алексей in Android Guards
Andre
Каким путем  с дампа памяти достать все строки и найти там пароль или еще что-то? Какие есть инструменты, может кто в курсе?)
https://developer.android.com/studio/profile/memory-profiler
источник
17:29пожаловаться

A

Andre in Android Guards
Алексей
https://developer.android.com/studio/profile/memory-profiler
А как от туда строки достать?) там же просто на аллокации можно посмотреть и сам дамп взять.
источник
17:30пожаловаться

А

Алексей in Android Guards
Andre
А как от туда строки достать?) там же просто на аллокации можно посмотреть и сам дамп взять.
Там можно изучать память
источник
17:31пожаловаться

c

cyber in Android Guards
Andre
Да,OQL) спасибо не знал про Fridump
https://www.eclipse.org/mat/downloads.php
www.eclipse.org
Eclipse Memory Analyzer Open Source Project | The Eclipse Foundation
The Eclipse Foundation - home to a global community, the Eclipse IDE, Jakarta EE and over 350 open source projects, including runtimes, tools and frameworks.
источник
17:31пожаловаться

c

cyber in Android Guards
там прям такими запросами можно примерно
источник
17:33пожаловаться