привет, описан ли где-нибудь правильный флоу для хранения секретов в keystore с авторизацией по пин коду и биометрии?

Вот так чтобы прямо четко описано где-то - не помню. Если найду время на следующей неделе, то допишу раздел KeyStore в кукбуке своем и в конце раздела приведу твой кейс в качестве real world example

Кстати докинул туда чек-лист безопасности. Пулреквесты приветствуются.

https://github.com/Fi5t/android-security-cookbook/blob/master/%D0%A7%D0%B5%D0%BA-%D0%BB%D0%B8%D1%81%D1%82%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8.md

1. Если имеются в виду пароли пользователя, то что им сделается в префах? Да и если шифровать, то где держать ключи?
Если же это приватные ключи от сервера, то you're pwned.

5. «Убраны методы для отключения пиннинга» — это значит, что приложение не опубликовано, да?

Про WebView — спорно.

8. Лоооол, SQL-инъекции. Было бы очень странно не использовать плейсхолдеры (и подготовленные запросы).

11, 12. Если броадкасты не локальные.

Про «нельзя делать скриншоты» и нативный код поржал, спасибо.

Да не за что, рад что тебя повеселил

Жду пулреквестов с правильными советами 😉

А чем овасп не устроил?

Там даже на русском есть

И есть уровни защиты приложения

А OWASP разве нацелен на конкретную платформу?

нет

По крайней мере ничего нового в чеклисте выше я не увидел

Если там будут ссылочки на код (реализацию), то это будет очень годным контентом :)

К чеклисту на овасп есть testing guide, там и есть примеры кода

Согласен

Всем устроил. Этот чек-лист не отрицает существование OWASP.

Было бы странно если бы ты увидел там что-то новое. Я не вижу ничего нового в рассылках на Android weekly например. Но ведь это не значит, что их нужно прекратить составлять ;)

Тогда зачем еще один?..)

Это мое видение процесса приатаченное к материалу, который я составляю (и частично пишу).