VS
а там неовім під капотом?
Size: a a a
2020 April 22
SG
не уверен, мне кажется там вообще что-то своё
SG
но в конфиге своем ничего похожего не видел, эх
EO
Йоу, помогите с идеей!
Надо защитить соедение, тоесть что б доступ к ендпоинтам был только при определённом условии.
Например, что б был сертификат на клиенте. Но если его туда положить — он может быстро скомпроментироваться.
Какие ещё варианты могут быть? Что б и секьюрно, и не особо напряжно. И желательно разрулить на уровне коннекшона
условно простой флоу:
1. ты установил аппку себе на моб
2. и только с этой аппки ты можешь дёрнуть апи
3. с любого другого постмана, браузера, курла, вотэва — не можешь
идей пока 2:
1. енд-2-енд шифрование, и тупо не принимать без ключа запросы (как в телеге)
2. авторизовать непосредственно устройство (типа как в гугле), и принимать только к него запросы. и юзеру дать возможность управлять подключенными устройствами
Надо защитить соедение, тоесть что б доступ к ендпоинтам был только при определённом условии.
Например, что б был сертификат на клиенте. Но если его туда положить — он может быстро скомпроментироваться.
Какие ещё варианты могут быть? Что б и секьюрно, и не особо напряжно. И желательно разрулить на уровне коннекшона
условно простой флоу:
1. ты установил аппку себе на моб
2. и только с этой аппки ты можешь дёрнуть апи
3. с любого другого постмана, браузера, курла, вотэва — не можешь
идей пока 2:
1. енд-2-енд шифрование, и тупо не принимать без ключа запросы (как в телеге)
2. авторизовать непосредственно устройство (типа как в гугле), и принимать только к него запросы. и юзеру дать возможность управлять подключенными устройствами
Делаешь снимок железа, из него генерируешь подпись устройства и добавляешь к себе в базу что этому можно
EO
поставить VSCode?
Ты аккуратно с этим, я последний раз спросил
- почему вы VSCode не пользуетесь, если от IntelliJ вас воротит?
- действительно, почему...
И поставили VSCode
- почему вы VSCode не пользуетесь, если от IntelliJ вас воротит?
- действительно, почему...
И поставили VSCode
👨M
Делаешь снимок железа, из него генерируешь подпись устройства и добавляешь к себе в базу что этому можно
Это один из вариантов. Пока что 3:
- cert pinning
- e2e encryption
- вот эта штука
- cert pinning
- e2e encryption
- вот эта штука
IT
Ты аккуратно с этим, я последний раз спросил
- почему вы VSCode не пользуетесь, если от IntelliJ вас воротит?
- действительно, почему...
И поставили VSCode
- почему вы VSCode не пользуетесь, если от IntelliJ вас воротит?
- действительно, почему...
И поставили VSCode
и жопа не отвалилась?
IT
прастити, я тут похоже главный по флуду
EO
и жопа не отвалилась?
Не, она от IntelliJ обычно отваливается у ребят, мне пофиг)
EO
Это один из вариантов. Пока что 3:
- cert pinning
- e2e encryption
- вот эта штука
- cert pinning
- e2e encryption
- вот эта штука
У меня ощущение, что ты не то защищаешь )
👨M
У меня ощущение, что ты не то защищаешь )
У меня на руках отчёт секьюрити инженера и стоит задача. Надо решать :)
D
Делаешь снимок железа, из него генерируешь подпись устройства и добавляешь к себе в базу что этому можно
А как это поможет защитить от ботов?
EO
У меня на руках отчёт секьюрити инженера и стоит задача. Надо решать :)
Так если есть отчёт об уязвимых местах, в них же должен быть и рекомендуемый способ (обычно)
Вт
Йоу, помогите с идеей!
Надо защитить соедение, тоесть что б доступ к ендпоинтам был только при определённом условии.
Например, что б был сертификат на клиенте. Но если его туда положить — он может быстро скомпроментироваться.
Какие ещё варианты могут быть? Что б и секьюрно, и не особо напряжно. И желательно разрулить на уровне коннекшона
условно простой флоу:
1. ты установил аппку себе на моб
2. и только с этой аппки ты можешь дёрнуть апи
3. с любого другого постмана, браузера, курла, вотэва — не можешь
идей пока 2:
1. енд-2-енд шифрование, и тупо не принимать без ключа запросы (как в телеге)
2. авторизовать непосредственно устройство (типа как в гугле), и принимать только к него запросы. и юзеру дать возможность управлять подключенными устройствами
Надо защитить соедение, тоесть что б доступ к ендпоинтам был только при определённом условии.
Например, что б был сертификат на клиенте. Но если его туда положить — он может быстро скомпроментироваться.
Какие ещё варианты могут быть? Что б и секьюрно, и не особо напряжно. И желательно разрулить на уровне коннекшона
условно простой флоу:
1. ты установил аппку себе на моб
2. и только с этой аппки ты можешь дёрнуть апи
3. с любого другого постмана, браузера, курла, вотэва — не можешь
идей пока 2:
1. енд-2-енд шифрование, и тупо не принимать без ключа запросы (как в телеге)
2. авторизовать непосредственно устройство (типа как в гугле), и принимать только к него запросы. и юзеру дать возможность управлять подключенными устройствами
у тебя задача защититься от mitm атаки?
👨M
у тебя задача защититься от mitm атаки?
В тч
Вт
впн надо походу с ротацией ключей
👨M
впн надо походу с ротацией ключей
Так а как быть пользователям у которых мобильный клиент?
EO
впн надо походу с ротацией ключей
Как впн поможет от митм?
Вт
Как впн поможет от митм?
а как тут что-то еще поможет?
EO
Хотя ладно, не буду флудить, лучше пойду поиграю