R
Ненене, это я знаю. Я просто не понял чем подпись тут может помочь;(
Подпись предотвращает выполнение запроса от лица злоумышленника
Size: a a a
2020 October 30
R
Например он не сможет обновить заэкспайреный acceess token через запрос refresh
c
Подпись предотвращает выполнение запроса от лица злоумышленника
Так он и RT не получит, он же зашифрованный лежит, не?
R
Так он и RT не получит, он же зашифрованный лежит, не?
Пока лежит - не получит. Но может получить из памяти в момент его передачи в сетевой слой
c
Пока лежит - не получит. Но может получить из памяти в момент его передачи в сетевой слой
Ааа, вот оно какой вектор, ок спасибо))
R
Да =) Это защита только от этого вектора. При чем я не думаю что это надо прямо всем. Но знать про эту возможность нужно =)
IM
Всем привет. Я правильно понимаю, на андроидах начиная с 6-й, если приложению через network_config не разрешить доверять сертификату прокси, то не получится https-траффик увидеть в потребном виде?
EM
@OxFi5t слушаю вчерашнюю запись и очень нравится! Пришел к тебе на канал (уже на ты :)
R
@OxFi5t слушаю вчерашнюю запись и очень нравится! Пришел к тебе на канал (уже на ты :)
👋
R
Всем привет. Я правильно понимаю, на андроидах начиная с 6-й, если приложению через network_config не разрешить доверять сертификату прокси, то не получится https-траффик увидеть в потребном виде?
С 7го насколько я помню
IM
С 7го насколько я помню
Да, точно.
Rl
А вот ты о чем =) Не все так просто 😉 Ключи из keystore никогда не появляются в памяти приложения. Т.е. фактически, злоумышленник котролирующий память приложения получает только результат подписи, но не может сформировать ее сам, т.к. не имеет приватного ключа
Я тоже не совсем это понимаю. В старом коде на проекте где я работаю загрузка KeyStore происходит без пароля. То есть все что там лежит легко достается, но получается я не прав? Я пытался вывести массив byte приватного ключа в лог и вывелось null. Так и должно быть?
A
Всем привет. Я правильно понимаю, на андроидах начиная с 6-й, если приложению через network_config не разрешить доверять сертификату прокси, то не получится https-траффик увидеть в потребном виде?
В 7м
Если реализован ssl pinning в приложении - то да
Если реализован ssl pinning в приложении - то да
R
Я тоже не совсем это понимаю. В старом коде на проекте где я работаю загрузка KeyStore происходит без пароля. То есть все что там лежит легко достается, но получается я не прав? Я пытался вывести массив byte приватного ключа в лог и вывелось null. Так и должно быть?
Да. Я об этом и говорю - ключи не экспозятся в память приложения, поэтому там null
Rl
Да. Я об этом и говорю - ключи не экспозятся в память приложения, поэтому там null
Thx =)
Я
2020 October 31
R
А ссылка на оригинал из плеймаркета есть? 😉
Я
Да, ща. Оно просто не доступно у меня через загрузщик качал
2020 November 01
Rl
Товарищи, а чем отличается
KeyStore.getInstance("AndroidKeyStore") от KeyStore.getInstance("PKCS") ? 1) Работает ли в других типах KeyStore все то, что работает в AndroidKeyStore? На сколько я понял из ответа здесь и документации, то нет. 2) Как понять в чем их отличие?