<![CDATA[Комментарии / Профиль cyberdeveloper]]>

<![CDATA[Комментарии / Профиль cyberdeveloper]]> https://habr.com/ru/users/cyberdeveloper/comments/ ru editor@habr.com habr.com Sat, 02 May 2026 14:18:57 GMT https://habr.com/ru/ https://habrastorage.org/webt/ym/el/wk/ymelwk3zy1gawz4nkejl_-ammtc.png Хабр 02.10.2018 08:24:11 https://habr.com/ru/companies/dataart/articles/424485/#comment_19182131 https://habr.com/ru/companies/dataart/articles/424485/#comment_19182131 SSL Pinning применяют, чтобы описанный способ инспекции и модификации трафика мобильного приложения не был доступен плохим парнямЧто за бред? Плохим парням ничего не помешает на своем устройстве засниффать и модифицировать трафик.]]> Tue, 02 Oct 2018 08:24:11 GMT 24.09.2018 08:17:50 https://habr.com/ru/articles/423753/#comment_19150213 https://habr.com/ru/articles/423753/#comment_19150213 Mon, 24 Sep 2018 08:17:50 GMT 24.09.2018 08:14:41 https://habr.com/ru/articles/423753/#comment_19150199 https://habr.com/ru/articles/423753/#comment_19150199 а во-вторых refreshToken там многоразовыйНе совсем, там в RFC написано, что метод обновления токенов опционально может возвращать RefreshToken, это предполагает, что он может быть одноразовым. А конкретные рекомендации можно найти по ссылкам — раз, два]]> Mon, 24 Sep 2018 08:14:41 GMT 20.09.2018 19:22:40 https://habr.com/ru/articles/423753/#comment_19137769 https://habr.com/ru/articles/423753/#comment_19137769 Нельзя заниматься одним и игнорировать второе. И предлагаете пренебречь? Вы сами себе противоречите в рамках одного сообщения.
И никто не игнорировал фактор проверки сертификата, это обязательно делается, но скажу еще раз, статья не об этом.]]> Thu, 20 Sep 2018 19:22:40 GMT 20.09.2018 12:03:13 https://habr.com/ru/articles/423753/#comment_19135803 https://habr.com/ru/articles/423753/#comment_19135803 Thu, 20 Sep 2018 12:03:13 GMT 20.09.2018 12:02:08 https://habr.com/ru/articles/423753/#comment_19135789 https://habr.com/ru/articles/423753/#comment_19135789 Так у вас вообще расшифрованный токен по сети идет, бери и повторяй запрос. Так не получится повторить, потому что токен уже не валиден. А в вашем варианте можно узнать пин по сети и вести его вручную.

А в моем варианте логин вводить не надо)

Это детали реализации, можно сделать сохранение логина и тоже не нужно будет вводить.

Нет таких векторов атаки, где ваш вариант устоит, а мой — нет.

Это не правда, если подумать шире. При передачи и хранении открывается большое количество векторов и возможностей где можно облажаться. Например, http клиент может закэшировать запрос в котором присутствует пин => при доступе к устройству будет и токен и пин. И таких возможностей открывается вагон. Главное понять, что в вашем варианте в бОльших системах фигуририует пин => его бОльших местах нужно защищать => больше вариантов налажать.
]]> Thu, 20 Sep 2018 12:02:08 GMT 20.09.2018 07:58:25 https://habr.com/ru/articles/423753/#comment_19134361 https://habr.com/ru/articles/423753/#comment_19134361
Спасибо за комментарий.]]> Thu, 20 Sep 2018 07:58:25 GMT 20.09.2018 07:55:14 https://habr.com/ru/articles/423753/#comment_19134337 https://habr.com/ru/articles/423753/#comment_19134337 Но криптография на сервере нас спасетДа, но по сети все еще можно перехватить.

безопасное изменение пин-кода

пин можно и в моем варианте изменить, причем локально на устройстве без отправки по сети.

разблокировку паролем от аккаунта

В моем варианте ничего не мешает ввести логопасс, тебе просто выдадут новые токены, а старые заинвалидируются.

И он безопаснее в некоторых сценариях. Например, Ева перехватила пакет

Да, интересный кейс, но он сработает только в случае владения 1 пакетом, а не каналом полностью. В целом, я все равно считаю, что вариант описанный в статье немного безопаснее.]]> Thu, 20 Sep 2018 07:55:14 GMT 19.09.2018 19:50:01 https://habr.com/ru/articles/423753/#comment_19132759 https://habr.com/ru/articles/423753/#comment_19132759 Не отправлять токены гет, а отправлять пост. Не отправлять что-то там вместе с чем-то там. Автор ты серьезно? Если Ева слушает канал то не важно что и как отправляется. Если не слушает, то отправляй что как удобно.
Я не зря оставил ссылку в посте на CWE. С этой уязвимостью ты сколько угодно можешь проверять сертификаты, только это не поможет.

ПРОВЕРЯЙТЕ СЕРТИФИКАТ СЕРВЕРА. ХОРОШО ПРОВЕРЯЙТЕ

Основной посыл статьи не про сеть, а про хранение.

Итого статья безграмотна

Учитывая предложения выше, мне сложно сказать кто/что тут безграмотная.]]> Wed, 19 Sep 2018 19:50:01 GMT 19.09.2018 19:23:34 https://habr.com/ru/articles/423753/#comment_19132681 https://habr.com/ru/articles/423753/#comment_19132681 Wed, 19 Sep 2018 19:23:34 GMT 19.09.2018 19:15:10 https://habr.com/ru/articles/423753/#comment_19132645 https://habr.com/ru/articles/423753/#comment_19132645

Или можно перехватить расшифрованный токен.

если ты воспользуешься перехваченным RefreshToken, то пользователь сразу об этом узнает, тк его разлогинит.

Логин с другого устройства — задайте пин-код.

Если ты можешь перехватывать, то перехватишь и DeviceId и представишься все тем же девайсом.]]> Wed, 19 Sep 2018 19:15:10 GMT 19.09.2018 19:11:29 https://habr.com/ru/articles/423753/#comment_19132629 https://habr.com/ru/articles/423753/#comment_19132629 Wed, 19 Sep 2018 19:11:29 GMT 19.09.2018 18:05:16 https://habr.com/ru/articles/423753/#comment_19132459 https://habr.com/ru/articles/423753/#comment_19132459 2) А смысл? Вариантов всего 10к. Это получается, что завладев базой, я могу составить радужную таблицу на 10к вариантов и найти по ней все пины? Даже если будет у каждого своя соль, то это только немного замедлит перебор, тк прийдется для каждого пин-кода строить радужную таблицу.]]> Wed, 19 Sep 2018 18:05:16 GMT 19.09.2018 15:33:16 https://habr.com/ru/articles/423753/#comment_19132001 https://habr.com/ru/articles/423753/#comment_19132001 Wed, 19 Sep 2018 15:33:16 GMT 19.09.2018 14:32:55 https://habr.com/ru/articles/423753/#comment_19131671 https://habr.com/ru/articles/423753/#comment_19131671 Wed, 19 Sep 2018 14:32:55 GMT 19.09.2018 14:31:37 https://habr.com/ru/articles/423753/#comment_19131659 https://habr.com/ru/articles/423753/#comment_19131659 Wed, 19 Sep 2018 14:31:37 GMT 19.09.2018 14:30:19 https://habr.com/ru/articles/423753/#comment_19131645 https://habr.com/ru/articles/423753/#comment_19131645 Wed, 19 Sep 2018 14:30:19 GMT 19.09.2018 14:29:32 https://habr.com/ru/articles/423753/#comment_19131641 https://habr.com/ru/articles/423753/#comment_19131641 Wed, 19 Sep 2018 14:29:32 GMT 19.09.2018 13:41:53 https://habr.com/ru/articles/423753/#comment_19131391 https://habr.com/ru/articles/423753/#comment_19131391 Wed, 19 Sep 2018 13:41:53 GMT 19.09.2018 13:28:20 https://habr.com/ru/articles/423753/#comment_19131323 https://habr.com/ru/articles/423753/#comment_19131323 Wed, 19 Sep 2018 13:28:20 GMT