169 похожих чатов

Всем привет! Кто нибудь знает как запретить использование эндпоинтов на

бекенде всем кроме офф клиентских приложений? (на клиенте моб приложение). Токены доступа не подходят - их можно вытянуть и использовать в сторонних скриптах и тд

16 ответов

11 просмотров

я думаю это больше в @android_ru

Слава- Автор вопроса

А как вы представляете себе это иначе, без секретов в клиенте? Так или иначе вам надо подписывать ваши запросы, и где-то должен быть приватный ключ. Сгенерируйте и положите его в кейстор, к примеру, тогда его просто так вытянуть не выйдет.

Никак :) Если захотят, найдут способ. Все что будет уметь делать приложение, смогуть зареверс инжинирить и повторить, при достаточных навыках.

Сделайте рукопожатие в виде обмена ключами специфическое, которое просто так не повторишь и потом по зашифрованному каналу общайтесь

@android_guards

Слава- Автор вопроса
Andrew Mikhaylov
А как вы представляете себе это иначе, без секрето...

На клиенте сгенерировать приватный ключ не получится - тогда бекенд не сможет отличить подпись офф клиента от любого другого клиента. Даже есть использовать специфическую соль при генерации, зашитую в приложение, то её можно будет вытянуть. Если приватный ключ получать от бекенда, то любой желающий сможет его также получить

Слава- Автор вопроса
Yaroslav
Никак :) Если захотят, найдут способ. Все что буде...

Вот гугл тоже так говорит! По крайнем мере те реурсы что я читал. Я думал что какой нибудь механизм уже придумали

Слава
На клиенте сгенерировать приватный ключ не получит...

Я к тому же. Любой алгоритм хендшейка можно отреверсить, секрет вы не положите в ваш клиент так, чтобы его невозможно было забрать, имеем, что имеем. Не думаю, что с этим возможно что-либо сделать. Но ссылку на релевантный чат выше подсказали, возможно, вам подскажут, где части вашего секрета можно сложить так, чтобы достать его целиком было достаточно трудно.

Andrew Mikhaylov
Я к тому же. Любой алгоритм хендшейка можно отреве...

в картинку можно зашить) хитро достаточно не факт что сразу найдут

Andrew Mikhaylov
Я к тому же. Любой алгоритм хендшейка можно отреве...

А так если с такой позиции подходить, то надо всех безопасников увольнять :) Ибо взломают рано или поздно все. Вопрос насколько рано или поздно и в каких количествах. Окей 100% вам никто не гарантирует но обычным диффи-хеллмана вы отсеите 99% кулхацкеров всяких)

Алексей Гладков
А так если с такой позиции подходить, то надо всех...

Ну так известный факт, что защита должна быть чуть-чуть дороже, чем стоимость её вскрытия, исключительно дабы вскрывать было нецелесообразно.

Слава- Автор вопроса
Сергій Я.
@android_guards

спасибо за чатик)

Слава
спасибо за чатик)

Пожалуйста, это профильный чат по таким вопросам. Тап бысто отбивают желание придумывать свои алгоритмы шифрования 🌚

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта