При помощи де компиляции через тот же Trillix можно будет узнать api_id и secret, которые вы указали в клиенте и произвести много различных запросов.Doker писал(а):Только при декомпиляции можно будет узнать код. А просто подменить запрос - нет.
Безопасность: setUserScore и/или отправка на сервер
-
- FL Team
- Сообщения: 119
- Зарегистрирован: 12 дек 2010, 14:08
Re: Безопасность: setUserScore и/или отправка на сервер
-
- FL Team
- Сообщения: 119
- Зарегистрирован: 12 дек 2010, 14:08
Re: Безопасность: setUserScore и/или отправка на сервер
Не могли бы вы рассказать по подробнее.Noise Gate писал(а):Ну ты же сам посылаешь ключ в приложение - стОит прослушать ответ с сервера - и ключ у тебя в кармане...
-
- Сообщения: 691
- Зарегистрирован: 28 апр 2010, 12:34
Re: Безопасность: setUserScore и/или отправка на сервер
Nick Lisogor
ну тут особенно и рассказывать то нечего....
Я ведь могу просмотреть любой трафик, который идет от меня или ко мне. Поэтому, передавать ключ в открытую - плохо. Я могу его перехватить и записать себе +100500 очков.
Можно шифровать, это избавит от школьников. Но мастера, которым очень нужно, могут декомпильнуть приложение, понять логику алгоритма шифрования и тоже слать любые запросы.
Так что, все, что вы делаете на клиенте надо считать небезопасным.
ну тут особенно и рассказывать то нечего....
Я ведь могу просмотреть любой трафик, который идет от меня или ко мне. Поэтому, передавать ключ в открытую - плохо. Я могу его перехватить и записать себе +100500 очков.
Можно шифровать, это избавит от школьников. Но мастера, которым очень нужно, могут декомпильнуть приложение, понять логику алгоритма шифрования и тоже слать любые запросы.
Так что, все, что вы делаете на клиенте надо считать небезопасным.
-
- FL Team
- Сообщения: 119
- Зарегистрирован: 12 дек 2010, 14:08
Re: Безопасность: setUserScore и/или отправка на сервер
Noise Gate, а что вы скажете насчет "Первого запроса" к API(редактируется к настройках приложения), вроде как, запрос идет не от клиента, т.е. он защищен?
-
- Сообщения: 691
- Зарегистрирован: 28 апр 2010, 12:34
Re: Безопасность: setUserScore и/или отправка на сервер
Да, запрос получается "достоверный", но как его можно использовать для защиты работы приложения, я в свое время так и не придумал.
Если есть какие-то идеи, можно попробовать изобрести что-нибудь полезное.
Если есть какие-то идеи, можно попробовать изобрести что-нибудь полезное.