C☭
особенно когда другие члены команды NULL в этом... или несут ересь не разобравшись со всем
Size: a a a
2020 November 04
HD
Ну да... нах тогда обфусцировать код, все равно же разматают) И всякие r8 и dexguard включать не надо... Итог один, разматают?
Если будет дорого ломать - есть смысл запариться. DexGuard с индайн rasp проверками и виртуализацией кода в нужных местах точно подарит ресерчеру как минимум несколько приятных недель
RC
Ну да... нах тогда обфусцировать код, все равно же разматают) И всякие r8 и dexguard включать не надо... Итог один, разматают?
Так, мухи отдельно, мясо отдельно - обфускация не содержит "секретных алгоритмов")
RC
вопрос про время поиска алги... как вариант при каждом паблике приложения менять алгоритм...
Окей, допустим делаем "секретный алгоритм". Значит и серверу тоже на каждый релиз апликухи нужно подсовывать новый же алгоритм. А как быть с пользователями, кто не обновился? Форсить их экраном ошибок к обновлению?
A
Окей, допустим делаем "секретный алгоритм". Значит и серверу тоже на каждый релиз апликухи нужно подсовывать новый же алгоритм. А как быть с пользователями, кто не обновился? Форсить их экраном ошибок к обновлению?
?ver=123 в параметре или user agent
RC
?ver=123 в параметре или user agent
Окей, хорошо. Я злой черт, я знаю про секретный алгоритм вместо секретного ключа и вижу версию в url. Я могу тебе передать под новую версию старую подписи - сиди и собирай на беке исключения
Ну то есть я могу форджить злонамеренные запросы, чтобы испортить жизнь серверу тогда
Алсо, никакой лид не согласиться менять на каждом релизе алгоритм ЦП на обоих сторонах. + количество алгоритмов подписи не то чтобы безконечное
Ну то есть я могу форджить злонамеренные запросы, чтобы испортить жизнь серверу тогда
Алсо, никакой лид не согласиться менять на каждом релизе алгоритм ЦП на обоих сторонах. + количество алгоритмов подписи не то чтобы безконечное
C☭
Окей, допустим делаем "секретный алгоритм". Значит и серверу тоже на каждый релиз апликухи нужно подсовывать новый же алгоритм. А как быть с пользователями, кто не обновился? Форсить их экраном ошибок к обновлению?
мы так и делаем если есть BREAKING CHANGES в коде... лочим версию и заставляем юзеров апать версию принудительно )
RC
мы так и делаем если есть BREAKING CHANGES в коде... лочим версию и заставляем юзеров апать версию принудительно )
Конечно, без этого никак)
Ну ни на каждом же релизе😄
Ну ни на каждом же релизе😄
C☭
Конечно, без этого никак)
Ну ни на каждом же релизе😄
Ну ни на каждом же релизе😄
на каждом... практика показывает...
C☭
у нас ежеквартальные релизы и постоянно что-то да и добавляется или фиксится..
RC
у нас ежеквартальные релизы и постоянно что-то да и добавляется или фиксится..
Ладно, это уже дело такое. Я просто хотел сказать, что полагаться на секретность алгоритма - плохая идея, когда с криптографией имеешь дело
https://en.m.wikipedia.org/wiki/Kerckhoffs%27s_principle
https://en.m.wikipedia.org/wiki/Kerckhoffs%27s_principle
C☭
?ver=123 в параметре или user agent
UA ничего не стоит подменить или сломать... и версия тоже ничего не даст.. как уже было сказано выше burp'ом все ловится быстро
C☭
Ладно, это уже дело такое. Я просто хотел сказать, что полагаться на секретность алгоритма - плохая идея, когда с криптографией имеешь дело
https://en.m.wikipedia.org/wiki/Kerckhoffs%27s_principle
https://en.m.wikipedia.org/wiki/Kerckhoffs%27s_principle
это верно...
C☭
как вариант можно fingerprint генерить на каждого пользователя и его пихать в качестве sign'ing хэша
C☭
и если хэш не известен то блокировать учетку и слать имейл
RC
Пользователь сам создаёт отпечаток или для него создаёт сервер?
C☭
Пользователь сам создаёт отпечаток или для него создаёт сервер?
нет.. чтото вроде https://fingerprintjs.com/
RC
Ну то есть на девайсе создаётся, правильно понимаю?
S
UA ничего не стоит подменить или сломать... и версия тоже ничего не даст.. как уже было сказано выше burp'ом все ловится быстро
ем и?
это же для определения версии апки
и какой алгоритм/ключи юзать для проверки подписи запроса
это же для определения версии апки
и какой алгоритм/ключи юзать для проверки подписи запроса
C☭
Ну то есть на девайсе создаётся, правильно понимаю?
правильно