DA
Size: a a a
2019 December 26
AS
Я согласен что защищать нужно, но моя точка зрения заключается в следующем. 1) Личные данные пользователя достаточно просто найти в других источниках. 2) Забрать деньги из девайса скорее всего не получится, а если и так, то только потому что пользователь не заблокировал свои карточки. 3) В самом приложении вряд ли хранится из данных что то совсем уж критичное, так как на операции в любом случае будет 2х факторная авторизация. И последнее 4) Обфускация от реверс инжиниринга не спасет никак. Только слегка замедлит процесс.
можно по крупицам собрать инфу в моб аппе и сделать атаку инструментами соц инженерии, так что инфу надо защищать в любом случае и не думать, что какая-то будет не сильно важной
ТР
Если включать соц инженерию то самое страшное далеко не в банках))
DA
Из вашей дискуссии я сделал вывод
1) Защищайте аппку
2) Не Защищайте аппку до потери пульса. В ужасном кейсе пальцем будут показывать не на клиент
1) Защищайте аппку
2) Не Защищайте аппку до потери пульса. В ужасном кейсе пальцем будут показывать не на клиент
AS
лан) не хочу чтоб Данияр отвлекался от работы) предлагаю далее не спорить :)
BG
В общем в банке взлом клиентской части не приведет ни к чему чтобы была возможность вывести деньги. Гораздо страшнее если дырявый бэк. Но тут ситуация получше будет
Вряд ли когда нанимали они думали:
- Знаешь, у нас бюджет ограничен, главное ведь чтобы бек был защищенным? Давай продвинутых бекендеров возьмем, а мобильщиков из универа наймем?
- Знаешь, у нас бюджет ограничен, главное ведь чтобы бек был защищенным? Давай продвинутых бекендеров возьмем, а мобильщиков из универа наймем?
AS
Вряд ли когда нанимали они думали:
- Знаешь, у нас бюджет ограничен, главное ведь чтобы бек был защищенным? Давай продвинутых бекендеров возьмем, а мобильщиков из универа наймем?
- Знаешь, у нас бюджет ограничен, главное ведь чтобы бек был защищенным? Давай продвинутых бекендеров возьмем, а мобильщиков из универа наймем?
так же всегда делают 😄
ТР
Из вашей дискуссии я сделал вывод
1) Защищайте аппку
2) Не Защищайте аппку до потери пульса. В ужасном кейсе пальцем будут показывать не на клиент
1) Защищайте аппку
2) Не Защищайте аппку до потери пульса. В ужасном кейсе пальцем будут показывать не на клиент
Полностью согласен
BG
так же всегда делают 😄
Блин, точно.
DA
Один чувак сказал мудрость:
Хочешь защищенные данные? Не храни ничего на клинте
Хочешь защищенные данные? Не храни ничего на клинте
BG
Один чувак сказал мудрость:
Хочешь защищенные данные? Не храни ничего на клинте
Хочешь защищенные данные? Не храни ничего на клинте
Поэтому wrongPinNumber нужно на беке обрабатывать.
ТР
Вряд ли когда нанимали они думали:
- Знаешь, у нас бюджет ограничен, главное ведь чтобы бек был защищенным? Давай продвинутых бекендеров возьмем, а мобильщиков из универа наймем?
- Знаешь, у нас бюджет ограничен, главное ведь чтобы бек был защищенным? Давай продвинутых бекендеров возьмем, а мобильщиков из универа наймем?
Тут уже да, согласен. Просто фишка в том что в банках многоуровневая система защиты пользователей от любых атак и вот на нее тратится огромная часть бюджета. На нижнем уровне ошибки иб уже не так критичны. Потому и может быть такое
ТР
Поэтому wrongPinNumber нужно на беке обрабатывать.
я wrongPinNumber мог бы хранить если знаю что на беке есть эта проверка и больше 5 раз переспрашивать смысла нет. Чисто синхронизация не отправляя лишний запрос
BG
Я ща тоже попробую диалог к web разработке подвести, чтобы показать свои знания во фронтенде в группе по Android разработке.
DM
я wrongPinNumber мог бы хранить если знаю что на беке есть эта проверка и больше 5 раз переспрашивать смысла нет. Чисто синхронизация не отправляя лишний запрос
но логи хттп в проде все таки ппц
ТР
но логи хттп в проде все таки ппц
Даже если их нет, при доступе к девайсу можно юзнуть любой прокси и оттуда собрать всю инфу. Гораздо страшнее если прила реально работает с апи без ssl. Хотя при доступе к девайсу он тоже на раз два разбирается
M
@Carnage9547 вы случаем не заинтересованное лицо в этой ситуации? в банке не работаете?)
Этот чат читают разные люди, в том числе джуны. Почитав вас может закраться мысль, что безопасность на мобилках переоценена.
Этот чат читают разные люди, в том числе джуны. Почитав вас может закраться мысль, что безопасность на мобилках переоценена.
DM
@Carnage9547 вы случаем не заинтересованное лицо в этой ситуации? в банке не работаете?)
Этот чат читают разные люди, в том числе джуны. Почитав вас может закраться мысль, что безопасность на мобилках переоценена.
Этот чат читают разные люди, в том числе джуны. Почитав вас может закраться мысль, что безопасность на мобилках переоценена.
2019 December 27
M
интересный текст, спасибо)
только у меня нет цели предположить предвзятость чтоб опровергнуть аргументы. мое мнение, такая позиция вредная априори, и мне интересно только зачем на ней соять.
только у меня нет цели предположить предвзятость чтоб опровергнуть аргументы. мое мнение, такая позиция вредная априори, и мне интересно только зачем на ней соять.