R
Кстати в случае с фридой даже ключи не нужны, можно сразу текст расшифрованный брать
Size: a a a
2020 August 21
R
И складывать куда-нибудь
m
Скрипту, который на этой фриде будет написан ))
Вроде да, был такой аргумент
YS
Не использовать концепцию “приватное API”
а как же снепчат, который генерировал на каждый запрос уникальный токен?) Причем делал это в нативе)
YS
Его конечно разобрали))))
YS
но 90% тех, кто хочет повторить, скорее всего плевали и брали другую приложуху)))
Вопрос того, какая цель?
Спрятать ключи - нет
Сделать приватное апи - тоже нет
Попробовать защититься от того, что кто-то дергает твой апи из скриптов, а не из родимой приложеньки - наверное можно, все равно раскрутят, вопрос какой ценой)
Вопрос того, какая цель?
Спрятать ключи - нет
Сделать приватное апи - тоже нет
Попробовать защититься от того, что кто-то дергает твой апи из скриптов, а не из родимой приложеньки - наверное можно, все равно раскрутят, вопрос какой ценой)
AI
Ок, спасибо за информацию тогда)
в любом случае, доступы по этим ключам нужно как можно сильнее ограничивать и перепроверять, иначе внезапно может оказаться, что кто-то может слать пуш-уведомления в твое приложение, как было в https://abss.me/posts/fcm-takeover/
S
а как же снепчат, который генерировал на каждый запрос уникальный токен?) Причем делал это в нативе)
это как бы подпись запроса
R
в любом случае, доступы по этим ключам нужно как можно сильнее ограничивать и перепроверять, иначе внезапно может оказаться, что кто-то может слать пуш-уведомления в твое приложение, как было в https://abss.me/posts/fcm-takeover/
О том и речь, что не нужно совершать “ошибку инстаграмма”. Они одно время (не знаю как щас) любили свое приватное API, которое не так сильно тротлилось как официальное. В результате им пользовались все накрутчики лайков
R
Нужно просто сделать одно API на всех и один тротлинг на всех. Тогда не будет такой проблемы
R
Ну и понятное дело мониторить это API как внешнее и потенциально опасное)
2020 August 24
RC
Ребят, даже спрашивать немного стыдно. Как правильно называется эта фишка, когда браузер и сервесы чекают время на устройстве относительно глобального и отказывают в доступе, если ты дату подергал устройстве?
D
Ребят, даже спрашивать немного стыдно. Как правильно называется эта фишка, когда браузер и сервесы чекают время на устройстве относительно глобального и отказывают в доступе, если ты дату подергал устройстве?
Ntp?
RC
Ntp?
Ща погуглю, спасибо
D
Пробовал ее на продакшене?
Кейсов особо не было, но знаю про неё
RC
Кейсов особо не было, но знаю про неё
Понял, спасибо еще раз
m
Пробовал ее на продакшене?
Хотел использовать, но слишком много незакрытых тикетов на баги. А так, лучшее решение что я видел
RC
main
Хотел использовать, но слишком много незакрытых тикетов на баги. А так, лучшее решение что я видел
Оп, спасибо за фидбек. Я ещё не вникал в детали протокола, но его же вроде не должно быть очень трудоёмко написать? Или я ошибаюсь?