VP
Уязвимости в аппе, рут, уязвимости в прошивке — мне кажется вот так в порядке уменьшения риска
Ну рут - это потрачено, а первое так и подумал
Size: a a a
2021 February 09
AM
А, адб run-as ещё
Kd
если раз в 3 дня не заходишь тебя выбивает, если заходишь - пользуешься как обычно, бля я уже не помню зачем эту дичь так сделали если честно
VP
А, адб run-as ещё
А это ещё что такое, запуск из под другого пользователя?
Kd
ля окей, шифруемые префы?
Kd
не хотел говорить но ладно
VP
Konstantin dmz9
если раз в 3 дня не заходишь тебя выбивает, если заходишь - пользуешься как обычно, бля я уже не помню зачем эту дичь так сделали если честно
А в фоне нельзя обновлять токен?
AM
А это ещё что такое, запуск из под другого пользователя?
Kd
А в фоне нельзя обновлять токен?
рефреш обновляется если у тебя есть инет, и так )
Kd
т.е. получается сессия на 3 дня но если не заходишь - разлогин. если заходишь - рефрешник обновляется еще на 3 дня (снова) ну и т.д.
AM
А это ещё что такое, запуск из под другого пользователя?
Условно,
sudo -uKd
а аксес на случай если кого то забанить
Kd
через 15 минут больше не зайдет, т.к. не сможет токены получить... типа того
VP
Выглядит как дырень (запуск любого кода от имени произвольной приложухи), это точно не только в дебаг-сборке работает?
VP
Konstantin dmz9
т.е. получается сессия на 3 дня но если не заходишь - разлогин. если заходишь - рефрешник обновляется еще на 3 дня (снова) ну и т.д.
Так не заходишь или сидишь 3 дня без подключения к инету?
AM
Выглядит как дырень (запуск любого кода от имени произвольной приложухи), это точно не только в дебаг-сборке работает?
В дебаг-сборке аппы или с рутовым адб, да. Но если там дохуя сверхсекретная тайна, а юзеры постоянно, как долбоёбы, должны логиниться, то путём нехитрых манипуляций можно установить кастомную сборку приложения, и юзер с некоторой вероятностью нихуя не заметит.
AM
(впрочем, это уже и само по себе пиздец, тут шаредпрефы будут не самой большой проблемой)
VP
Konstantin dmz9
а аксес на случай если кого то забанить
Банить надо отзывом токена, но в случае JWT это обычно так не работает.
Ну какая-то не элитная секурность, если можно 15 минут любую дичь творить.
Ну какая-то не элитная секурность, если можно 15 минут любую дичь творить.
VP
В дебаг-сборке аппы или с рутовым адб, да. Но если там дохуя сверхсекретная тайна, а юзеры постоянно, как долбоёбы, должны логиниться, то путём нехитрых манипуляций можно установить кастомную сборку приложения, и юзер с некоторой вероятностью нихуя не заметит.
В таком сценарии не поможет ничего 🙂
Kd
Так не заходишь или сидишь 3 дня без подключения к инету?
там специфика что оффлан приложуха накапливает работу, ну, некоторые результаты.
для людей в "поле"
для людей в "поле"