R
Есть безопасные строки.
Что за безопасные строки и какова их модель безопасности?
Size: a a a
2020 November 17
Я
Что за безопасные строки и какова их модель безопасности?
Наверное он говорит про зашифрованные строки
Я
И еще, как можно защититься от дампинга памяти? Конечно, переменную после использования можно обнулить, но когда там GC отработает... Я не настолько хорошо разбираюсь в устройстве Java, чтобы придумать другие варианты)
Проверять непосредственно ли к процессу кто то подключился, чекать фриду.
2020 November 18
Rl
Товарищи, у меня такой вопрос. В KeyStore сохраняю приватный ключ и цепочку сертификатов. Так же есть хранилище которое шифруется пином. Имеет ли смысл сохранять в хранилище пароль от KeyStore с этой цепочкой сертификатов и получать цепочку сертов через пароль. Или и без пароля норм?
2020 November 19
СП
Ну может и имеет. Доп.этап защиты если хранилище шифрованное.
2020 November 23
D
Всем, привет. Как можно безопасно реализовать следующую штуку.
Есть два приложения с разным applicationID, при установке второго приложения нужно получить из первого sessionID, чтобы во втором приложении пользователь зашел в свой личный кабинет без запроса пароля. Как можно безопасно это сделать?
Есть два приложения с разным applicationID, при установке второго приложения нужно получить из первого sessionID, чтобы во втором приложении пользователь зашел в свой личный кабинет без запроса пароля. Как можно безопасно это сделать?
AS
Всем, привет. Как можно безопасно реализовать следующую штуку.
Есть два приложения с разным applicationID, при установке второго приложения нужно получить из первого sessionID, чтобы во втором приложении пользователь зашел в свой личный кабинет без запроса пароля. Как можно безопасно это сделать?
Есть два приложения с разным applicationID, при установке второго приложения нужно получить из первого sessionID, чтобы во втором приложении пользователь зашел в свой личный кабинет без запроса пароля. Как можно безопасно это сделать?
VR
и за одно прочитай про https://habr.com/ru/company/yandex/blog/347152/ и проблемы с китайцами
VR
D
Спасибо!
R
и за одно прочитай про https://habr.com/ru/company/yandex/blog/347152/ и проблемы с китайцами
За статью от Яндекса плюсую. Ребята отлично все расписали.
R
@pdapnz ну и хочется “похохмить” в духе времени - не нужен тебе Account Manager. Экосистемы приложений это прошлый век. Делай суперапп, за ними будущее!
VR
wechat давно это доказало :)))
D
@pdapnz ну и хочется “похохмить” в духе времени - не нужен тебе Account Manager. Экосистемы приложений это прошлый век. Делай суперапп, за ними будущее!
Там просто есть старая и новая версия, это два отдельных приложения. Обе неплохи и заказчик хочет начать продвигать новую, с кардинально другим дизайном, который хорош, но слишком революционен, поэтому делается как отдельная версия, чтобы у пользователей остался выбор. Они просят сделать так, чтобы при установке этой новой версии пользователь автоматом залогинен был, если на телефоне есть первая версия. Это можно сделать просто взяв ID сессии.
D
Вот это конечно сильно смущает. Но я пока не дочитал статью от Яндекса, может они там придумали как эту проблему разрулить.
YS
VR
Вот это конечно сильно смущает. Но я пока не дочитал статью от Яндекса, может они там придумали как эту проблему разрулить.
NK
Появились видео с Android Summit 2020, который прошел в начале октября. Я как-то пропустил это событие, а там есть что посмотреть. По "нашей теме" там 4 видео, что в общем-то редкость для таких мероприятий:
Practical security for Android apps - новички традиционно найдут для себя много полезных практических советов о том как делать безопасные приложения в 2020, а зубастые (и бородатые) security-специалисты ничего нового не найдут, зато получат видео на которое можно посылать новичков или надергать советов, которые потом можно выдать за свои 😉
Modern security for Android Developers - совсем уж прописные истины, о которых не говорил только ленивый. Да и все ленивые кажется тоже давно уже расшевелились и сказали. Новичкам стоит это смотреть на х2 с целью накопать каких-нибудь недостающих знаний, всем остальным можно не смотреть.
Modern Android Hacking - хороший доклад с довольно нудным вступлением (первые 10 минут можно смело пропустить). Рассмотрены случаи перехвата данных из буфера обмена, "угона" интентов (**intent hijacking**) и злоупотребления возможностями доступности (**accessibility abuse**). Советы по защите от рассмотренных векторов атак также прилагаются.
Defending Your Users - не слишком технический, но от этого не менее интересный доклад о комплексном подходе к обеспечению безопасности мобильных приложений. Лейтмотивом доклада является мысль, о которой часто забывают - безопасность приложения, это не только крутые защиты реализованные в вашем исходном коде. Рекомендую к просмотру.
Practical security for Android apps - новички традиционно найдут для себя много полезных практических советов о том как делать безопасные приложения в 2020, а зубастые (и бородатые) security-специалисты ничего нового не найдут, зато получат видео на которое можно посылать новичков или надергать советов, которые потом можно выдать за свои 😉
Modern security for Android Developers - совсем уж прописные истины, о которых не говорил только ленивый. Да и все ленивые кажется тоже давно уже расшевелились и сказали. Новичкам стоит это смотреть на х2 с целью накопать каких-нибудь недостающих знаний, всем остальным можно не смотреть.
Modern Android Hacking - хороший доклад с довольно нудным вступлением (первые 10 минут можно смело пропустить). Рассмотрены случаи перехвата данных из буфера обмена, "угона" интентов (**intent hijacking**) и злоупотребления возможностями доступности (**accessibility abuse**). Советы по защите от рассмотренных векторов атак также прилагаются.
Defending Your Users - не слишком технический, но от этого не менее интересный доклад о комплексном подходе к обеспечению безопасности мобильных приложений. Лейтмотивом доклада является мысль, о которой часто забывают - безопасность приложения, это не только крутые защиты реализованные в вашем исходном коде. Рекомендую к просмотру.
2020 November 24
D
и за одно прочитай про https://habr.com/ru/company/yandex/blog/347152/ и проблемы с китайцами
В статье об AccountManager от Яндекса написано, чтобы приложения могли пользоваться одним и тем же аккаунтом, они должны иметь общую подпись. А если подпись разная, то без шансов получается?
И второй момент. Если я перехожу на AccountManager, то мне придется всех пользователей заставить логиниться заново? Ведь аутентификация скрыта внутри AccountManager и он про существующую сессию приложения ничего не знает, а способов ее туда запихать я не увидел.
И второй момент. Если я перехожу на AccountManager, то мне придется всех пользователей заставить логиниться заново? Ведь аутентификация скрыта внутри AccountManager и он про существующую сессию приложения ничего не знает, а способов ее туда запихать я не увидел.
D
А если сделать такую схему. В "старом" приложении, откуда нужно получить id сессии делаем BroadcastReceiver с фильтром PACKAGE_INSTALL, PACKAGE_ADDED, PACKAGE_REMOVED. При каждом его получении при помощи PackageManager проверяем появилось наше "новое" приложение в системе и если, да, то отсылаем броадкаст с session ID в новое приложение. Только тут вопрос с безопасностью. Этот броадкаст может кто-то еще перехватить.