SG
И дешифровать этим ключом ты не сможешь секрет приложения, который зашифрован уже другими числами
Size: a a a
2020 December 28
PE
такие вещи на клиенте либо не хранят, либо доверяют клиентам
SG
так и у клиента каждого он свой будет. ты же закрытый в рантайме генерировать предлагаешь
но чужие данные ты не сможешь использовать
V
но чужие данные ты не сможешь использовать
мне и не нужны чужие
V
мы же все еще про изначальную проблему говорим? что левые люди прикидываются валидными клиентами и списывают смс? )
SG
А как ты тогда узнаешь секрет приложения, чтобы смоделировать запрос, который сервер пропустит?
SG
А как ты тогда узнаешь секрет приложения, чтобы смоделировать запрос, который сервер пропустит?
Сопсна
SG
При том учитывая, что секрет генерится, к примеру, только для одного экрана и умирает через условные 15 минут, пока ты только общий ключ ломанешь у тебя уже внуки будут
SG
Абсолютной безопасности не бывает. Цель информбезника — сделать так, чтобы хакер задолбался еще до того, как взлмоает, а цель хакера — сделать так, чтобы информбезник задолбаолся его искать
SG
Все просто
PE
а че ему взламывать , когда алгоритм он знает)
V
мы же все еще про изначальную проблему говорим? что левые люди прикидываются валидными клиентами и списывают смс? )
ведь так?
мне не нужно ничего ломать, мне нужно, что бы сервер думал, что я - валидный клиент. все. генерирую хеш так же, как это делает клиент. хоть с хоффманом, хоть с обфускацией строки которая выступает ключем. в чем отличие будет? что мне помешает это сделать? 15-60 минут на декомпиляцию? какое то время на поиск строки + анализ ее генерации?
мне не нужно ничего ломать, мне нужно, что бы сервер думал, что я - валидный клиент. все. генерирую хеш так же, как это делает клиент. хоть с хоффманом, хоть с обфускацией строки которая выступает ключем. в чем отличие будет? что мне помешает это сделать? 15-60 минут на декомпиляцию? какое то время на поиск строки + анализ ее генерации?
SG
ведь так?
мне не нужно ничего ломать, мне нужно, что бы сервер думал, что я - валидный клиент. все. генерирую хеш так же, как это делает клиент. хоть с хоффманом, хоть с обфускацией строки которая выступает ключем. в чем отличие будет? что мне помешает это сделать? 15-60 минут на декомпиляцию? какое то время на поиск строки + анализ ее генерации?
мне не нужно ничего ломать, мне нужно, что бы сервер думал, что я - валидный клиент. все. генерирую хеш так же, как это делает клиент. хоть с хоффманом, хоть с обфускацией строки которая выступает ключем. в чем отличие будет? что мне помешает это сделать? 15-60 минут на декомпиляцию? какое то время на поиск строки + анализ ее генерации?
а как ты узнаешь какой секрет был передан клиентом?
SG
Без этого секрета сервер тебя просто ушлет куда подальше
PE
Все просто
проще не париться и просто забить на это
SG
А попробовать разобрать обфусцированную (норм инструментом) кашу — штош, удачи
PE
на бэке переработать уже систему безопасности
PE
а не такой фигней страдать)
SG
на бэке переработать уже систему безопасности
ты на бэке без помощи клиента не сможешь определить его валидность
СП
ведь так?
мне не нужно ничего ломать, мне нужно, что бы сервер думал, что я - валидный клиент. все. генерирую хеш так же, как это делает клиент. хоть с хоффманом, хоть с обфускацией строки которая выступает ключем. в чем отличие будет? что мне помешает это сделать? 15-60 минут на декомпиляцию? какое то время на поиск строки + анализ ее генерации?
мне не нужно ничего ломать, мне нужно, что бы сервер думал, что я - валидный клиент. все. генерирую хеш так же, как это делает клиент. хоть с хоффманом, хоть с обфускацией строки которая выступает ключем. в чем отличие будет? что мне помешает это сделать? 15-60 минут на декомпиляцию? какое то время на поиск строки + анализ ее генерации?
Если у нас авторизация через firebase то придется еще и ее обмануть - ее защиты от прикидывания себя валидным клиентом