то я б не против

write-up-ы дело добровольное, но я могу через какое-то время рассказать суть заданий и как их по моему (предвзятому) мнению стоило решать =)

Хотя было бы гораздо круче получить отчеты от тех, кто прошел задания сам. Это всегда очень интересно.

мне как нубу будет интересно

@sportivka нашел еще один ключ и сравнялся изначальным лидером @x011011. При этом оба участника обладают одинаковым набором из ключей, а два оставшихся пока никому не покороились 😉

Статья от ребят из Plaid где они рассказывают почему использовать Chrome Custom Tabs гораздо безопаснее чем WebView. А ведь и правда, почему?

🏝 В отличие от WebView, CCT запускает себя (а значит и JavaScript) в своем собественном процессе
🔐 CCT отображает адрес посещаемого сайта и "замочек" безопасного (или нет) соединения

Но ничего не дается бесплатно и проблемы с использованием CCT тоже есть. В статье написано с чем ребята столкнулись и как эти проблемы решали.

#4developers, #webview, #chrome_custom_tabs

https://blog.plaid.com/securing-webviews-with-chrome-custom-tabs/

У нас сменился лидер соревнований =) На перввое место по количеству найденых ключей вышел @sportivka. На его счету сейчас 4 ключа. Чуть позже, как и обещал, напишу подсказку для тех, кто пока что не так успешен =)

Найдено 4 ключа и я, как обещал, даю первую подсказку: Мета-данные - очень полезная вещь. Много чего можно из них узнать, например автора. Но не все форматы файлов имеют возможность хранить метаданные.

Похоже подсказка возымела действие и у нас появился еще один человек (@a_mitr)  нашедший ключ.

доброго дня, камрады. Кто как реализует в своих приложениях шифрованные SharedPreferences? У гугла есть решение EncryptedSharedPreferences, и в принципе я могу его использовать, но только для api >= 23. Какие решение вы используете для api < 23?

есть такой MR, но его покинули, может доделают
https://android-review.googlesource.com/c/platform/frameworks/support/+/985248

https://github.com/Fi5t/advanced-tink - вот этот репозиторий поковыряй

Там есть библиотека BinaryPreferences. Можешь натянуть на нее свое кастомное шифрование если не хочешь Tink

Кстати, api < 23 с каждой неделей все менее актуально. Разве что заказчик непремено требует мин 21 или 19

А так да, tink, у него кейстор поддерживается,откуда вытащить ключи предположительно невозможно а пользоваться ими предположительно может только положившее туда приложение

очередная печальная участь

в общем плоховато с безопасностью ключей на андроиде, сколько я вокруг этого ни крутил вертел

ещё пугают фантомные сбросы кейстора при смене отпечатка пальца (или кода)

приложение инициализирует своё состояние из sharedPrefs, если они у меня сломаются - будет очень плохо.

А почему фантомные? Вроде by design