BS
на сколько легко интерсептировать трафик ?
Size: a a a
2020 April 22
S🥐
что мешает эти флаги послать постманом?
совесть
👨M
идей пока 2:
1. енд-2-енд шифрование, и тупо не принимать без ключа запросы
2. авторизовать непосредственно устройство (типа как в гугле), и принимать только к него запросы. и юзеру дать возможность управлять подключенными устройствами
1. енд-2-енд шифрование, и тупо не принимать без ключа запросы
2. авторизовать непосредственно устройство (типа как в гугле), и принимать только к него запросы. и юзеру дать возможность управлять подключенными устройствами
👨M
ну как варик что-то от сюда курить https://habr.com/ru/post/318748/
вот отсюда все 3 метода у меня и так есть
BS
можно валидировать девайс ид, но это тоже перехватывается
👨M
можно просто зашифровать — и пофигу что там пришлюют, если ключа нет / он не походит, но запрос отвалится
BS
можно генерить фразу на основе девайс ид, и с помощью ее заворачивать весь трафик, а на уровне апки расшифровывать
👨M
как в телеге
BS
👨M
но там тлс/ссл — оно и так шифруется
BS
в локальной сети можно перехватить
BS
сниффинг на коммутаторах
BS
ну и все зависит от настройки сервера, если там адекватно настроеный ссл и отключены деприкейтнутые шифры ( на подобии настройки нгникс ), то будет достаточно
I
I
Немного новостей о долбойобах
BS
есть еще место, на уровне устройства, где могут трафик перехватить. Можно ревеснуть билд на андроид ( мой опыт ), модифицировать и собрать обратно. Банально в консоль выводить сетевые запросы
BS
с 8 жвм это работает
BS
к стати, таким образом можно угнать сертификат и проводить митм атаки в сладость
BS