0
Так можно же каждый раз генерировать новый ключ (для сессии или раз в день). Шифровать его публичным ключом RSA и отправлять вместе с запросами.
Что будет мешать атакующему делать запрос по незашифрованному каналу и получать эти ключи?
Size: a a a
2020 March 21
k
SSL Pinning отключается легко, если что.
k
Что такое?
AT
Что будет мешать атакующему делать запрос по незашифрованному каналу и получать эти ключи?
Ваш сервер - ваши правила :)
M
Что такое?
Уверен, есть способы детектить фриду.
BT
Уверен, есть способы детектить фриду.
а у фриды еще больше способов хукать детекты
k
Фрида может сделать так, чтобы приложение не видело ее
0
Ваш сервер - ваши правила :)
Я вас услышал. Использовать другую платформу, нет смысла защищать чем то серьёзным, генерировать ключи и отдавать по незашифрованному каналу, свой сервер свои правила.
Благодарю за время
Благодарю за время
k
Я вас услышал. Использовать другую платформу, нет смысла защищать чем то серьёзным, генерировать ключи и отдавать по незашифрованному каналу, свой сервер свои правила.
Благодарю за время
Благодарю за время
отправляете на сервак ключ, там подписываете его)
k
И возвращаете в приложение
AT
Я вас услышал. Использовать другую платформу, нет смысла защищать чем то серьёзным, генерировать ключи и отдавать по незашифрованному каналу, свой сервер свои правила.
Благодарю за время
Благодарю за время
Передавать по незащищенному каналу зашифрованные данные.
M
Фрида может сделать так, чтобы приложение не видело ее
От сервака, возможно, не спрячешься, но гаджет легко детектить
k
От сервака, возможно, не спрячешься, но гаджет легко детектить
Это да
M
Никаких строк быть не должно
AT
Генерим новый рандомный ключ для симметричного алгоритма. Им шифруем данные. Ключ шифруем ассиметричным. Зашифрованный ключ отсылаем вместе с данными. На сервере берём зашифрованный ключ и расшифровываем его второй частью ключа (приватной) от ассиметричного алгоритма. Уже им расшифровываем основные данные. Если задача не хранить в коде ключи от симметричного алгоритма ...
0
отправляете на сервак ключ, там подписываете его)
Что мешает атакующему скопировать этот ключ отправить на сервер и получить подписанную версию ключа?
k
Никаких строк быть не должно
А как из прятать? Вот это не понимаю
M
А как из прятать? Вот это не понимаю
Либо шифрование использовать, либо что-то похожее. Лучше вместо строк использовать массив.
M
uint32_t str_xt1[45] = {
0x9EФ2C101,
0x84B5C9F6,
0x9EФ2C101,
0x84B5C9F6,
k
Либо шифрование использовать, либо что-то похожее. Лучше вместо строк использовать массив.
А, с массивом видел много ситуаций