D•
Jeronimo
Какие могут быть альтернативы? Я проектировал софт с защитой по json до того, как узнал о подмене сервера
вообще сертификаты тебе помогут. ssl
Size: a a a
2021 April 02
D•
так подменить сервер будет невозможно
D•
если у тебя будет сертификат вшит, например
J
Ключ в JSON отсылается сервером всегда один и тот же?
Нет. Идет проверка наличия ключа в json файле. На каждый отдельный экземпляр - отдельный ключ
🐈
В данном вопросе обсуждается попытка найти решение защиты ПО на стороне клиента?
J
В данном вопросе обсуждается попытка найти решение защиты ПО на стороне клиента?
Да
🐈
Подмена сервера — через подпись
🐈
Защита исполняемого файла — отсрочка конечного взлома, которая зависит от фантазии авторов ПО
НИ
Я не совсем понял, как работает ваша защита. Если JSON данные отправляемые сервером всегда разные, зачем тогда защищать их от копирования?
Я бы использовал бы для этой цели ассиметричную криптографию + одноразовый пароль на основе текущего времени.
Я бы использовал бы для этой цели ассиметричную криптографию + одноразовый пароль на основе текущего времени.
J
Подмена сервера — через подпись
Ssl?
🐈
Да хоть передача подписи, зашифрованной тем же RSA
🐈
Любое ассимитричное шифрование, как указали выше
J
Я не совсем понял, как работает ваша защита. Если JSON данные отправляемые сервером всегда разные, зачем тогда защищать их от копирования?
Я бы использовал бы для этой цели ассиметричную криптографию + одноразовый пароль на основе текущего времени.
Я бы использовал бы для этой цели ассиметричную криптографию + одноразовый пароль на основе текущего времени.
Затем, что в json находится клиентская база. Я только потом уловил суть, что можно скопировать содержимое себе на компьютер, изменить время, когда заканчивается подписка клиента и сделать подмену адреса на новое содержимое. Даже идентификатор менять не надо.
НИ
При этом ваша программа не использует функционал сервера? То есть может работать полностью офлайн?
🐈
Вопрос состоит в том, как защититься от MITM (Man-in-the-middle) атаки
J
При этом ваша программа не использует функционал сервера? То есть может работать полностью офлайн?
Использует ещё один сервер, но его не нужно защищать. Только первый, где база с данными клиентов.
🐈
Я не понимаю, почему нельзя использовать систему токенов
🐈
И любую систему, которая позволяет определить подлинность подключения
НИ
А зачем нужно клиенту передавать базу данных клиентов? Это не утечка данных?
B
А есть задачник по криптографии?
Cryptopals.com
Задачи на root-me.org
Из вариантов попроще был сборник олимпиадных задач для школьников под редакцией Ященко. По-моему, в его "Введении в криптографию" эти задачи есть отдельной главой.
Задачи на root-me.org
Из вариантов попроще был сборник олимпиадных задач для школьников под редакцией Ященко. По-моему, в его "Введении в криптографию" эти задачи есть отдельной главой.