Size: a a a

2020 April 22

M

Mark in BeerJS😺Kyiv
Nikita Lyubchich
1. На клиенте генеришь приватный ключ
2. Симметричным паролем (знает только пользователь) шифруешь приватный ключ, публичный прикладываешь рядом
3. Полученный контейнер отправляешь на сервер
4. Сервер сохраняет контейнер в базе

5. Отправляешь клиенту контейнер когда тот попросит
6. Он, на своей стороне, расшифровывает приватный ключ симметричным паролем и подписывает все запросы.

Векторов для атаки тут два: окружение небезопасно во время генерации приватного ключа, и когда  клиент расшифровал контейнер для подписи своих запросов
обмінятись секретом можна безпечніше здається
источник

NL

Nikita Lyubchich in BeerJS😺Kyiv
Потому серьезно, если вопрос касается финансов - 2FA неизбежен от слова вообще
источник

M

Mark in BeerJS😺Kyiv
источник

NL

Nikita Lyubchich in BeerJS😺Kyiv
И не смсками на телефон, ага
источник

M

Mark in BeerJS😺Kyiv
отак наприклад
источник

👨M

👨🏼‍💻 Mr. 🅺 Яблукович... in BeerJS😺Kyiv
вот эту тему тож читаю
источник

BS

Bogdan Seagull in BeerJS😺Kyiv
Рса на дг работает
источник

BS

Bogdan Seagull in BeerJS😺Kyiv
По поводу реверса, можно сравнивать хеш суммы апликухи перед запуском, так размер билда будет сильно ограничен, а переписать саму проверку невозможно. Так как она тоже влияет на сумму
источник

BS

Bogdan Seagull in BeerJS😺Kyiv
Тоже, можно провернуть с запросом, делать хеш запроса, предварительно расчитав его и вклеивать в сам запрос, на серваке, делать обратную операцию
источник

BS

Bogdan Seagull in BeerJS😺Kyiv
В секурном окружении, такя система реальным блэк-боксом будет
источник

NL

Nikita Lyubchich in BeerJS😺Kyiv
Но нет ничего надежнее 2FA
источник

BS

Bogdan Seagull in BeerJS😺Kyiv
еще не видел что-бы на мобайле 2фа использовали
источник

BS

Bogdan Seagull in BeerJS😺Kyiv
есть примеры ?
источник

OA

Oleh Aloshkin in BeerJS😺Kyiv
Bogdan Seagull
еще не видел что-бы на мобайле 2фа использовали
Мы используем
источник

OA

Oleh Aloshkin in BeerJS😺Kyiv
источник

NL

Nikita Lyubchich in BeerJS😺Kyiv
Bogdan Seagull
еще не видел что-бы на мобайле 2фа использовали
В смысле на мобайле?
источник

OA

Oleh Aloshkin in BeerJS😺Kyiv
Ну имеется ввиду, что 2FA не везде удобно использовать я так понял
источник

BS

Bogdan Seagull in BeerJS😺Kyiv
да
источник

BS

Bogdan Seagull in BeerJS😺Kyiv
я просто реально не видел в мобильных версиях продуктов с 2фа, собственно самого 2фа
источник

BS

Bogdan Seagull in BeerJS😺Kyiv
от по этому и пример просил
источник