В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Android Guards

753 membersпожаловаться на группу
2020 October 02

C☭

Chadwick ☭ in Android Guards
Sebastian Pereiro
в owasp top 10 mobile написано:
If possible, apply a separate layer of encryption to any sensitive data before it is given to the SSL channel. In the event that future vulnerabilities are discovered in the SSL implementation, the encrypted data will provide a secondary defense against confidentiality violation.
👍
источник
16:26пожаловаться#1

R

Rtem in Android Guards
Sebastian Pereiro
в owasp top 10 mobile написано:
If possible, apply a separate layer of encryption to any sensitive data before it is given to the SSL channel. In the event that future vulnerabilities are discovered in the SSL implementation, the encrypted data will provide a secondary defense against confidentiality violation.
Этот “посибл” может дорого стоить. Об этом тоже нужно помнить
источник
16:34пожаловаться#2

C☭

Chadwick ☭ in Android Guards
Rtem
Этот “посибл” может дорого стоить. Об этом тоже нужно помнить
моя идея пока - после логина бэк присылает на фронт токен для шифрования и все что пересылается на бэк и приходит с него им же и шифруется/дешефруется, бэк же на своей стороне юзает этот токен для шифрования исходящих данных
источник
16:40пожаловаться#3

R

Rtem in Android Guards
А этот “токен” будет один для всех?
источник
16:44пожаловаться#4

C☭

Chadwick ☭ in Android Guards
Rtem
А этот “токен” будет один для всех?
нет, для каждого пользователя свой в пределах сесси
источник
16:45пожаловаться#5

R

Rtem in Android Guards
Chadwick ☭
нет, для каждого пользователя свой в пределах сесси
А как он будет генерироваться?
источник
16:46пожаловаться#6

C☭

Chadwick ☭ in Android Guards
Rtem
А как он будет генерироваться?
какой нибудь  AES
источник
16:46пожаловаться#7

R

Rtem in Android Guards
Chadwick ☭
какой нибудь  AES
Ок. Как ты планируешь этот “AES токен” на клиенте перегонять в ключ?
источник
16:47пожаловаться#8

R

Rtem in Android Guards
Ну и в догонку: где его будешь хранить?
источник
16:47пожаловаться#9

C☭

Chadwick ☭ in Android Guards
Rtem
Ну и в догонку: где его будешь хранить?
хранить - в памяти
источник
16:48пожаловаться#10

C☭

Chadwick ☭ in Android Guards
Rtem
Ок. Как ты планируешь этот “AES токен” на клиенте перегонять в ключ?
не совсем понятно, что имеется ввиду..
источник
16:48пожаловаться#11

R

Rtem in Android Guards
Chadwick ☭
не совсем понятно, что имеется ввиду..
Вот и мне непонятно как ты из строчки пришедшей с сервера сделаешь надежный AES ключ.
источник
16:49пожаловаться#12

R

Rtem in Android Guards
Chadwick ☭
хранить - в памяти
А что будет когда приложение будет удалено из памяти и открыто заново? Как я пошлю запрос на сервер не имея ключа?
источник
16:49пожаловаться#13

C☭

Chadwick ☭ in Android Guards
Rtem
А что будет когда приложение будет удалено из памяти и открыто заново? Как я пошлю запрос на сервер не имея ключа?
заного залогиниться 😅
источник
16:50пожаловаться#14

R

Rtem in Android Guards
Chadwick ☭
заного залогиниться 😅
Отличный UX =)
источник
16:50пожаловаться#15

C☭

Chadwick ☭ in Android Guards
Rtem
Отличный UX =)
🤦🏻‍♂️ знаю
источник
16:50пожаловаться#16

R

Rtem in Android Guards
Кстати, а данные логина в этом случае полетят плейнтекстом? =) Ключа же нет пока)
источник
16:50пожаловаться#17

C☭

Chadwick ☭ in Android Guards
у меня есть тикет от пентестеров по поводу offline кэша))) тут совсем 💩
источник
16:51пожаловаться#18

R

Rtem in Android Guards
Короч народ не внемлет когда я говорю - не придумывайте свои защиты. Ничего хорошего из этого не выйдет.
источник
16:51пожаловаться#19

C☭

Chadwick ☭ in Android Guards
Rtem
Кстати, а данные логина в этом случае полетят плейнтекстом? =) Ключа же нет пока)
в данном случае
1( первый запрос на авторизацию выходит как plaintext 🤦🏻‍♂️
2) получаем токен юзера и токен шифрования
3) шифрует все остальное...

чего делать с п1 не знаю )
источник
16:52пожаловаться#20