ВКонтакте API

Doker писал(а):Только при декомпиляции можно будет узнать код. А просто подменить запрос - нет.

При помощи де компиляции через тот же Trillix можно будет узнать api_id и secret, которые вы указали в клиенте и произвести много различных запросов.

Noise Gate писал(а):Ну ты же сам посылаешь ключ в приложение - стОит прослушать ответ с сервера - и ключ у тебя в кармане...

Не могли бы вы рассказать по подробнее.

Nick Lisogor
ну тут особенно и рассказывать то нечего....

Я ведь могу просмотреть любой трафик, который идет от меня или ко мне. Поэтому, передавать ключ в открытую - плохо. Я могу его перехватить и записать себе +100500 очков.

Можно шифровать, это избавит от школьников. Но мастера, которым очень нужно, могут декомпильнуть приложение, понять логику алгоритма шифрования и тоже слать любые запросы.

Так что, все, что вы делаете на клиенте надо считать небезопасным.

Noise Gate, а что вы скажете насчет "Первого запроса" к API(редактируется к настройках приложения), вроде как, запрос идет не от клиента, т.е. он защищен?

Да, запрос получается "достоверный", но как его можно использовать для защиты работы приложения, я в свое время так и не придумал.
Если есть какие-то идеи, можно попробовать изобрести что-нибудь полезное.