Pull to refresh

Comments 6

А вы уверены, что Facebook ломается с помощью этого скрипта? У них там вроде своя собственная версия пининга для их приложений реализована

Много у кого реализована на самом деле. В таком случае приложения разбираются индивидуально.

Это считается плохой практикой - потому что привязка часто идёт к конкретному сертификату компании, и при его устаревании или отзыве может произойти что-то интересное. Но хардкодить проверки на сертификаты разработчикам это не мешает.

Вообще не всегда можно так просто встроиться в пиннинг в 100% случаев.

Видел в одном российском приложении интересный подход с заменой сигнатур классов в OkHttp, включая CertificatePinner, через инструменты типа jarjar. Очень круто то, что это дёшево, просто через плагин добавляется один этап во время сборки, никакой код самому переписывать не нужно. По сути, изменяется только имя пакета в классах, но все простые стандартные средства снятия пиннинга это ломает и юным реверс-инженерам готовыми фрида-скриптами уже воспользоваться не получится, придётся как минимум писать свои. Плюс есть и куда более изощренные подходы с выносом сетевого слоя в нейтив, кажется так сделано в приложениях фейсбука

Sign up to leave a comment.

Articles