В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Android Guards

676 membersпожаловаться на группу
2017 September 18

R

Rtem in Android Guards
Aleksandr Lepekhin
@OxFi5t добрый день. Спасибо за интересное выступление в субботу.
Во время доклада, вы сказали интересную вещь, что ssl pinning можно обойти. Тут в чате, также упомянули про sslstrip и sslsplit. Но как это поможет обойти sslpinning, без установки своих сертификатов на устройство и патчинга приложения? Да даже если установить на устройство фейковый сертификат центра сертификации, в приложении может быть реализован ssl pinning для самоподписанного сертификата сервера и запрещен доступ по http. Или я в чём-то заблуждаюсь?
Sslsplit позволяет встроиться в цепочку за границами устройства. Но для этого нужен валидный сертификат.
источник
15:40пожаловаться

AL

Aleksandr Lepekhin in Android Guards
Угу, нужен валидный сертификат, которому доверяет пользователь и этот сертификат проходит пиннинг. А значит нужен доступ к устройству.
источник
15:44пожаловаться

P

Pavel B in Android Guards
@OxFi5t
Здравствуйте! а что вы можете сказать про ЭП на android с крипто про, аладин
источник
16:28пожаловаться

R

Rtem in Android Guards
Pavel B
@OxFi5t
Здравствуйте! а что вы можете сказать про ЭП на android с крипто про, аладин
На ведре не сталкивался. Только на PC. Лет 5-6 назад )
источник
18:38пожаловаться

R

Rtem in Android Guards
Если есть конкретный вопрос, то может что-то подскажу.
источник
18:39пожаловаться

P

Pavel B in Android Guards
Да вопрос,как лучше шифровать ключи на ведре?сейчас,sha1
источник
18:51пожаловаться

NK

Nikita Kulikov in Android Guards
Целый доклад был посвящен этому
источник
18:55пожаловаться

NK

Nikita Kulikov in Android Guards
Никак
источник
18:56пожаловаться

NK

Nikita Kulikov in Android Guards
Если сильно зудит, то bcrypt можно
источник
18:56пожаловаться

R

Rtem in Android Guards
Pavel B
Да вопрос,как лучше шифровать ключи на ведре?сейчас,sha1
sha1 это не шифрование. И она содержит коллизию плюс ко всему.
источник
19:08пожаловаться

R

Rtem in Android Guards
Шифровать лучше всего AES-128.
источник
19:09пожаловаться

R

Rtem in Android Guards
Ключи шифрования не хранить, а делать из юзерского ввода хэшированного PBKDF2
источник
19:09пожаловаться

P

Pavel B in Android Guards
Rtem: сорри, хеширования, понятно,будем пробовать, спасибо
источник
19:17пожаловаться

R

Rtem in Android Guards
Еще раз повторю добрый совет: хотите разобраться в крипте - почитайте Шнаера. Можно не всю книгу даже, а по интересующим темам. Много вопросов снимется сразу.
источник
21:13пожаловаться

R

Rtem in Android Guards
По поводу версии из интернетов: дело ваше, но она ужасная. Там старое издание с кучей ошибок. Мне за рекламу не платят, но рекомендую взять переиздание 2017го года. Оно реально качественнее чем то, что щас гуляет в сети.
источник
21:20пожаловаться

P

Pavel B in Android Guards
Rtem
По поводу версии из интернетов: дело ваше, но она ужасная. Там старое издание с кучей ошибок. Мне за рекламу не платят, но рекомендую взять переиздание 2017го года. Оно реально качественнее чем то, что щас гуляет в сети.
спасибо вам!
источник
21:27пожаловаться

МК

Максим Кулешов in Android Guards
Ребят, а кто юзает ssl-пиннинг, как вы обновляете сертификат?
перевыпуском приложения? или есть другие способы?
источник
23:16пожаловаться
2017 September 19

AL

Aleksandr Lepekhin in Android Guards
Максим Кулешов
Ребят, а кто юзает ssl-пиннинг, как вы обновляете сертификат?
перевыпуском приложения? или есть другие способы?
Два пути: использовать самоподписанный сертификат с продолжительным сроком действия, лет так на 10. Или сертификат выше в цепочке, например сертификат центра сертификации, который тоже несколько лет действует. Когда же истечет этот срок, то да, придется перевыпускать приложение. Но лучше это делать раньше, до истечения срока.
источник
00:08пожаловаться

R

Rtem in Android Guards
Максим Кулешов
Ребят, а кто юзает ssl-пиннинг, как вы обновляете сертификат?
перевыпуском приложения? или есть другие способы?
Мы перевыпускаем. Это проще и надёжнее. Можно ещё сделать систему обновления с сервера. На примере того же ретрофита это будет выглядеть как подмена хэша сертификата.
источник
08:41пожаловаться

МК

Максим Кулешов in Android Guards
Окей, спасибо.
источник
08:48пожаловаться