VT
Шифровать, конечно. Плюс антиотладка
Size: a a a
2019 December 29
TZ
танунах))
VT
В идеале ещё и транслировать в байткод какой-нибудь странной вм, чтобы совсем отбить желание реверсить
TZ
В идеале ещё и транслировать в байткод какой-нибудь странной вм, чтобы совсем отбить желание реверсить
из пушки по воробьям.. проще фильтрацию настроить и лимиты установить
DF
В идеале ещё и транслировать в байткод какой-нибудь странной вм, чтобы совсем отбить желание реверсить
И таскать с собой чемодан с батарейками потому что все это говно будет сажать телефон за 10 минут :)
VT
Приложения Фейсбука сложно переплюнуть
АК
А всё начиналось с того, что апишка на перле тормозная. И правильного варианта - сделать её не тормозной, так и не прозвучало.
АК
А вариант с лимитами по ip его бы органично дополнил.
АК
Что у вас там? Магазин и приложение по продаже цветов? Кому ваша апишка вообще сдалась? А если кому-то сдалась, то он и любое приложение расковыряет.
В
Они и в код приложения могут посмотреть.
Тогда нет смысла всё это затеивать
AS
Какой заголовок?
А https вас не спасет? По середине вроде не получится читать. Если без, то вам уже ответили, что можно просто иметь общий секрет и заниматься подписыванием сообщения, посмотрите в сторону hmac(message, shared_secret_key). Подпись в куку, в хедер, в параметр ( куда хотите в общем) положить. Похоже в message должна быть метка времени ещё, чтобы избавиться об проблемы повтора сообщения (+проблема синхронизации времени), или увеличивающийся messageid.
От реверс-инженеринга ничего не спасет
От реверс-инженеринга ничего не спасет
AS
"что в общем случае это невозможно," — в общем случае. скорее всгео это невозможно, что обычно можно добавить что-нить дурацкое и это отсечет большинство левых пользователей (это не избавит от тех кто серьезно подошел к вопросу, но может быть это и не нужно). Например в user agent добавлять хеш от дня недели в utc
Это не спасет от повтора запроса.
AP
А https вас не спасет? По середине вроде не получится читать. Если без, то вам уже ответили, что можно просто иметь общий секрет и заниматься подписыванием сообщения, посмотрите в сторону hmac(message, shared_secret_key). Подпись в куку, в хедер, в параметр ( куда хотите в общем) положить. Похоже в message должна быть метка времени ещё, чтобы избавиться об проблемы повтора сообщения (+проблема синхронизации времени), или увеличивающийся messageid.
От реверс-инженеринга ничего не спасет
От реверс-инженеринга ничего не спасет
Https есть. Как по мне, так этого достаточно. Но мне ж надо как-то дизайнерам объяснить. :)
VT
Попроси их взломать
AP
Попроси их взломать
Отвечу по-дизайнерски:
"Ой, всё!"
"Ой, всё!"
VT
Problem solved
AP
Я их два месяца просил пофиксить количество запросов при старте приложения. Там пока GPS корректирует местоположение, координаты меняются раз 20. На каждое изменение отправляется запрос на бэкэнд. Разница в координатах в радиусе 10 метров.
AP
Убедил, что так не надо делать, только когда запустил на бэкэнде только один воркер. Сказали, что тормозит при старте. Показал им логи, говорю, много запросов сразу идёт. Тогда пофиксили.
IB
Сделать чтобы API принимало координаты не чаще чем раз в N времени про одного пользователя, а если будут запросы чаще, то отдавать 429 ?
В
Спасёт вебсокет с бэкендом, который фреймы в binary отдаёт, ну и плюс https конечно. Тогда уж точно пущай трафик смотрят