В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Android Guards

676 membersпожаловаться на группу
2018 January 09

AB

Alexander Blinov in Android Guards
Alexey Pushkarev
ну окей, код ты не сможешь серверу в ответ верный отправитть, но вот чисто теоретически раз этот декс исполняется, то по суди можно же похитить данные пользователя. Допустим если у приложения есть доступ к контактам. Ты подменяешь на вредоносный декс, который вычитывает контакты пользователя и отправляет их куда-нибудь и вуаля можно спам рассылать этим контактам.
это имеет смысл делать только на приложениях у конечных пользователей, а там тебе это не даст сделать включенный tls pinning
источник
23:34пожаловаться

VS

Vladislav Shipugin in Android Guards
Можно вообще заморочится и реализовать отрицаемое (deniable) шифрование. Это когда шифр можно расшифровать настоящим и фейковым ключём. Фейковый ключ хранить на поверхности, тогда по фейковому ключу взломщик будет получить фейковую инфу, а данные пользователя останутся в безопасности😉

https://www.os3.nl/_media/2012-2013/courses/ssn/desirable_features_for_plausibly_deniable_encryption.pdf
источник
23:38пожаловаться

AB

Alexander Blinov in Android Guards
Vladislav Shipugin
Можно вообще заморочится и реализовать отрицаемое (deniable) шифрование. Это когда шифр можно расшифровать настоящим и фейковым ключём. Фейковый ключ хранить на поверхности, тогда по фейковому ключу взломщик будет получить фейковую инфу, а данные пользователя останутся в безопасности😉

https://www.os3.nl/_media/2012-2013/courses/ssn/desirable_features_for_plausibly_deniable_encryption.pdf
sticker.webp
(33.02 Кб)
источник
23:39пожаловаться

AB

Alexander Blinov in Android Guards
хитро, вот только как это применимо к ситуации которую обсуждаем?)
источник
23:42пожаловаться

VS

Vladislav Shipugin in Android Guards
Alexander Blinov
Хочу защитить  сервер от откручивания клиента
Вот к чему это
источник
23:45пожаловаться

AB

Alexander Blinov in Android Guards
а как?
источник
23:45пожаловаться

VS

Vladislav Shipugin in Android Guards
С помощью шифрования токена.
источник
23:46пожаловаться

VS

Vladislav Shipugin in Android Guards
Самое банальное, токен шифровать. Несколько ключей положить на МП и в видные места. Которые будут расшифровывать токен в фейковые токены. Ну а дальше по ситуации.
источник
23:48пожаловаться

VS

Vladislav Shipugin in Android Guards
Тогда курлом не каждый сможет header с токеном добавить.
источник
23:49пожаловаться

VS

Vladislav Shipugin in Android Guards
Это заставит хаскера посидеть дополнительные n-вечеров)
источник
23:49пожаловаться
2018 January 10

GK

Gregory Klyushnikov in Android Guards
Alexander Blinov
Хочу защитить  сервер от откручивания клиента
Это технически невозможно.
источник
08:05пожаловаться

AB

Alexander Blinov in Android Guards
Gregory Klyushnikov
Это технически невозможно.
Ещё один. Давайте заменим "невозможно" на "сложно  потому что"
источник
08:07пожаловаться

GK

Gregory Klyushnikov in Android Guards
Alexander Blinov
Ещё один. Давайте заменим "невозможно" на "сложно  потому что"
"Сложно потому что" сервер может только отвечать на запросы и никаким образом не может узнать, как именно выглядит то, что их отправляет. Если эти запросы выглядят как запросы с настоящего клиента, сервер будет считать, что с ним общается настоящий клиент.
источник
08:09пожаловаться

AB

Alexander Blinov in Android Guards
Gregory Klyushnikov
"Сложно потому что" сервер может только отвечать на запросы и никаким образом не может узнать, как именно выглядит то, что их отправляет. Если эти запросы выглядят как запросы с настоящего клиента, сервер будет считать, что с ним общается настоящий клиент.
Можно сделать так, чтобы очень сложно было отправить то, что сервер ожидает
источник
08:11пожаловаться

GK

Gregory Klyushnikov in Android Guards
Alexander Blinov
Можно сделать так, чтобы очень сложно было отправить то, что сервер ожидает
Насколько сложно? Декомпильнуть приложение и посмотреть, как оно формирует запросы, не особенно сложно.
источник
08:12пожаловаться

AB

Alexander Blinov in Android Guards
Читай выше, обсуждали уже
источник
08:13пожаловаться

GK

Gregory Klyushnikov in Android Guards
я посмотрел, тут просто всё полагается на иммутабельность кода приложения, например
источник
08:14пожаловаться

GK

Gregory Klyushnikov in Android Guards
что если ты сделал пиннинг сертификата, то он будет на устройстве пользователя обязательно работать
источник
08:15пожаловаться

GK

Gregory Klyushnikov in Android Guards
однако, это не так, если этот пользователь умеет писать модули для xposed, например
источник
08:15пожаловаться

GK

Gregory Klyushnikov in Android Guards
а задача "вынуть сверхсекретный токен" с xposed вообще становится тривиальной
источник
08:17пожаловаться