Телеграмм чат группы android

Хочу защитить сервер от откручивания клиента

Зачем? Пусть извращенцы развлекаются

22:20пожаловаться

Ivan Purlatc

Помогут увеличением времени на разбор сетевого слоя, чтобы сделать консольное приложение
Таким образом многие приложения могут стать не интересными с точки зрения такого взлома, так как не принесут столько пользы

пересобрать без пининга

22:20пожаловаться

Artur Vasilov

Зачем? Пусть извращенцы развлекаются

чтобы извращенцы консолью не подергали за ручки сервера

22:21пожаловаться

чтобы извращенцы консолью не подергали за ручки сервера

эм, так я и так могу посмотреть твои запросы к серваку и без разбора апк даже. А в полностью контролируемом окружении могу подделать что угодно

22:23пожаловаться

Artur Vasilov

и пининг?

22:24пожаловаться

Пининг без разбора не могу, наверное

22:25пожаловаться

Да никому не сдался ваш сервак, чо вы)

22:25пожаловаться

Artur Vasilov

Да никому не сдался ваш сервак, чо вы)

это, пожалуй лучшая защита)

22:25пожаловаться

22:26пожаловаться

и ей пользуется большинство разработчиков, но, пожалуй, нет)

22:26пожаловаться

Кстати с этим вашим пинингом минус ещё в том, что если сервак меняет сертификат, то придется релизить с новым сертификатом апк

22:46пожаловаться

Pavel B in Android Guards

Эм...логично)

22:54пожаловаться

Alexey Pushkarev

Смотря что пиннить😉

23:20пожаловаться

Если просто первыпустить в том же корневом центре (как обычно это и делается), то никаких проблем не будет

23:21пожаловаться

так то норм средство защиты, фактор с сервера верифицирует твой код

ну а если между сервером и клиентом вмешаться и подменить этот загружаемый декс на вредоносный не?

23:27пожаловаться

это вроде в подкасте и упоминалось

23:28пожаловаться

Alexey Pushkarev

ну а если между сервером и клиентом вмешаться и подменить этот загружаемый декс на вредоносный не?

dex возвращает тебе после выполнения какой-либо код, который ты отправляешь потом на сервер

23:28пожаловаться

поэтому тебе надо его еще исполнить в корректном окружении изначально, чтобы понять, какой код будет возвращаться

23:29пожаловаться

dex возвращает тебе после выполнения какой-либо код, который ты отправляешь потом на сервер

ну окей, код ты не сможешь серверу в ответ верный отправитть, но вот чисто теоретически раз этот декс исполняется, то по суди можно же похитить данные пользователя. Допустим если у приложения есть доступ к контактам. Ты подменяешь на вредоносный декс, который вычитывает контакты пользователя и отправляет их куда-нибудь и вуаля можно спам рассылать этим контактам.

23:32пожаловаться

ну то есть это получается прям как evaluate в js, что закинули то и исполнили без всяких проверок опасно ли этот декс вообще исполнять.