Pull to refresh
14
Голяков Сергей@Protos

Cybersecurity evangelist, DevSecOps

40
Subscribers
Send message
Для составления идентификатора планируется собирать сотни параметров, включая информацию о самом устройстве, его характеристиках, окружениях среды, паттерны поведения пользователя и многое другое.

Во первых это рекомендация, никто ничего не обязан, так же ОС Андроид и iOS не дают никакой уникальной информации по устройству, разные устройства выплат как пустую так и одинаковую информацию по некоторым системным параметрам для разных моделей устройств, либо информация меняется постоянно. Если кто знает что считать уникальным идентификатором для каждой из этих операционных систем прошу помочь.
Далее браузер, опять же ничто не говорит от 100% идентификации, а значит на больших выборках будет много схожих устройств, не везде применимы evercookie, так же половина тех способов что этот же evercookie предлагает уязвимые, тот же flash.
Любое более сильное вмешательство, например, сбор IMEI может выдать как пустые данные, а у пользователя будет подгорать по этому поводу.
Остаётся выкачивать телефонную книгу, фотки и смотреть сходство этих данных для разных ЮЛ и ФЛ)
Аналогично и с разработкой всяких плагинов к браузерам цель которых будет запросить чтение данных операционной системы для сбора CPU ID, HDD IP, реестра и системных переменных, записи каких-то своих переменных.
По п.1 не согласен, нельзя передать при аутентификации логин и хэш пароля, так же и с биометрией — нельзя передавать логин и готовые ключевые точки
Полагаю не будет каких операций по звонку, не у все компаний АОН даже есть. Это будет мобильное приложение, в котором ты через ЕСИА аутентифицируешься, там тебя просят ввести сотовый и включить камеру на всякий случай для аутентификации — вот ты и взял микрокредит.
Статья применима к любому классу продуктов
Там речь что предыдущие программы ставили на Испанию
В смысле что все остальные известные способы можно выявить, просто не любое сетевое ПО это делает по умолчанию, а значит факт сокрытия передачи есть.
Сократе факта, а не способа
Статью прочитайте, в ней четко написано в каких случаях да, а в каких нет
Помнится в том документе ФСТЭК на который в статье дана ссылка, данный случай рассматривается.
Какой алгоритм используется для генерации хэша отпечатка при первичной регистрации?

Это логично, ведь вы хотите работать с данными VK, для этого используются standalone приложения, вы даёте доступ через стандартную форму разрешения доступа этому приложению, все честно видите. Никакие данные не утекают, вы делаете запрос, выгрузить таких-то пользователей vk к примеру, получаете данные в ответе.

О каких третьих лицах речь?

Это не защищает приложение от пропатчинга и увода лицензии, тем более в статье речь про защиту приложений взаимодействующих с Vk.com

Что именно вам не нравится?

Ну только если эту информацию и оставлять, без других персональных данных

Остатки же финансовая информация и ее например у нас 5 лет надо хранить, если это виртуальные фантики, то хз, видимо по честному в соглашении пописать что пару месяцев не удалены для закрытия недостач и сведения баланса.
Если это банк на аутсорсинге или ДБО на аутсорсинге, то выгружать архив в банк, пускай сами хранят

Кто то в одной из статей ранее предполагал, что можно вести индексы удаленных, и при восстановлении из бэкапа выполнять удаление всех удаленных заново по индексам
Все равно не понятно, это увеличивает количество покупок отключения рекламы? Тогда 16$ не включает заработок от покупки отключения рекламы?

Внутри execute выполняются основные вычисления, вы можете патчить программу, но все обработки данных получаемых при парсинге, например, групп, и других данных VK выполняются внутри execute, execute возвращает только результат обработки, что оно делает злоумышленнику будет тяжело догадаться, также емупридется писать все методы execute самостоятельно. Пример: execute парсит стену 10 групп, фильтрует данные по неизвестному злоумышленнику способу, выбирает нужные параметры постов и выводит в определенной последовательности, что вам патчинг даст?

Information

Rating
Does not participate
Location
Россия
Works in
Registered
Activity

Specialization

DevSecOps, AppSec-инженер
Ведущий
From 600,000 ₽
Python
C#
Powershell
DevSecOps
SSDL