169 похожих чатов

Вот наконец Кто-то шарит И что тогда предлагать Бекенду в

плане защиты?

4 ответов

22 просмотра

Всегда предполагайте что клиент находится в руках врага, так и проектируйте

Roman-Vasilev 💻 Автор вопроса
Overtorment
Всегда предполагайте что клиент находится в руках ...

Да тежи самые куки Не очень хорошо дружат с РН Это так? И использовать их Это только гемор на стороне фронта Но в плане безопасности они не особо помогут ???

ну смотри, по сути тебе важно на прикладном уровне защититься от 2-х вещей: 1. мамкины хакеры. 2. пользователи. мамкины хакеры любят сканировать порты, пентестить и делать реверс инженеринг. порты надо скрыть и проверять время от времени, а вот реверс инженеринг допускать нельзя и это реально. первый шаг вы сделали, поставили https, шаг номер два, не менее важен — ловить атаки вроде mitm. этим занимаются сами оси, но с jailbreak и root это можно отключить, поэтому важно проверять коренной серт именно на бэке. к этому же стоит добавить проверку на рута/джейла. таким пользователям доверять нельзя. пентест своих же апи — хорошая практика. вторая важная штука — защита от пользователей. пользователю верить нельзя, все данные от него надо валидировать, с базой общаться через pdo, если не знаете как обезопасить запросы от inj. все проверки прав доступа делать на бэке. был недавно случай, крупное детское приложение, позволяет зайти родителю как бы от ребёнка, посмотреть что там происходит. реверсом получил апи, смотрю, там прям id пользователя, а в ответ токен. пробую рандомный id, получаю токен. подставляю токен — вуаля. не надо так 🤷‍♂️ cors поможет не юзать ваши апи незаметно для пользователя. csrf не позволит вашим пользователям загружать контент в приложении из неизвестных источников. и то и другое не так важно, если у вас авторизация через заголовок.

Roman Vasilev 💻
Да тежи самые куки Не очень хорошо дружат с РН Эт...

не юзайте куки ) не нужны они в рн. асинксторейдж секьюрсторейдж, но не куки

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта