Если они хранятся в оперативной памяти, то это все не имеет смысла, т.к. после перезагрузки он пропадет вместе с AccessToken-ом и мы не сможем расшифровать RefreshToken.
RefreshToken лежит незащищенный в локальном хранилище
А если они хранятся также в «незащищенном хранилище», то получив доступ к девайсу (который вы подразумеваете. Хотя также есть вопрос, как из папки приложения малварь может извлечь данные не на рутовых девайсах), то останется перебрать лишь 4-6 значное числовое значения пина.
Да, можно было написать про админку, но по объему выходило слишком много текста, а если её упоминать, то это нужно и про веб брутфорс писать через гидру или берп. Сами понимаете, регламент журнала.
Очень надеюсь, что если уж такие средства лечения начали появляться, то в ближайшее время на рынке появятся всевозможные решения от разных производителей.)
Я к тому, что если подразумевается постоянное ношение, то такую штуку, во-первых, не потаскаешь на голове, во-вторых, она не охватывает всю поверхность + еще при густой шевелюре дает мало эффекта.
Отличная статья, хотя получилось немного устрашающе. Для всех хабравчан хочет больше понять данную тему, советую прочитать Айзека Азимова, который довольно ярко предоставил нам картину роботизированного будущего из своих 40-ых!
AccessToken + RefreshToken, RefreshToken + DeviceID?
Из статьи непонятно о каком протоколе речь — OAuth или какой-то кастомный протокол авторизации.
Если они хранятся в оперативной памяти, то это все не имеет смысла, т.к. после перезагрузки он пропадет вместе с AccessToken-ом и мы не сможем расшифровать RefreshToken.
А если они хранятся также в «незащищенном хранилище», то получив доступ к девайсу (который вы подразумеваете. Хотя также есть вопрос, как из папки приложения малварь может извлечь данные не на рутовых девайсах), то останется перебрать лишь 4-6 значное числовое значения пина.