ES
Самый очевидный вариант - проебал телефон
Лол, эти же данные с префов показываются в самом приложении ) Если профукал мобилу, префы уже не нужны )
Size: a a a
2021 January 07
ES
Плюс какова вероятность, что человек, сворующий мобилу будет знать что то о префах
PE
да и какова вероятность что ему нужно будет капаться в префах аппки)))
KK
Плюс какова вероятность, что человек, сворующий мобилу будет знать что то о префах
законы Мерфи откидывать не стоит)
PE
примерно как размер писюльки у трилобита
KK
В любом случае, всем спасибо за мнения по вопросу
ES
И вообще всё сводится к тому, что шифруют на сервере всё, а не на клиенте. На клиенте просто не хранят никакие данные, токены разве что.
Н
Плюс какова вероятность, что человек, сворующий мобилу будет знать что то о префах
Так. Я это написал условно. Я точно знаю что на одном проекте с загоном на секьюрность, фирма по безопасности, которая проверял апку смог достать префы с чужого телефона, взять токен от туда и по итогу завладеть акком инженера и наебнуть тестовую сеть)
ES
Так. Я это написал условно. Я точно знаю что на одном проекте с загоном на секьюрность, фирма по безопасности, которая проверял апку смог достать префы с чужого телефона, взять токен от туда и по итогу завладеть акком инженера и наебнуть тестовую сеть)
Каким образом имея токен вдруг сразу завладеваешь акком?
RR
подскажите, можно как-то переподписаться на лайфдату?
ES
Ну даже если он проснифит траф, то ответ от сервера возвращает типо true или false
ES
И внутри апи не должно быть никакого взаимодействия с паролями и логином
KK
Каким образом имея токен вдруг сразу завладеваешь акком?
ну самое простое - через токен (как авторизованый пользователь) сделать запрос sql куда нибудь, в ответ потенциально можно получить юзеров (и пароли если повезет)
ES
ну самое простое - через токен (как авторизованый пользователь) сделать запрос sql куда нибудь, в ответ потенциально можно получить юзеров (и пароли если повезет)
Бить больно по рукам бекендера
ES
Зачем вдруг на авторизацию, сервер будет кидать пароли?
KK
Бить больно по рукам бекендера
я такую историю слышал про одно из наших отечественных госучереждений 😄
СП
Зачем вдруг на авторизацию, сервер будет кидать пароли?
Потому что бэкэндер сошел с ума?
ES
Против sql инъекций уже давно придумали методы противодействия
JF
подскажите, можно как-то переподписаться на лайфдату?
очень странный вопрос. А зачем на нее переподписываться?
ES
Потому что бэкэндер сошел с ума?
Ну вот это уже не андроид разработчиков проблемы, уходим от темы