Грустно, что становится всё сложнее определить, что это за непонятный кусок обфусцированного кода внутри приложения «фонарик» — то ли это разработчики очень пекутся о суперэффективных алгоритмах включения лампочки, то ли это злоумышленники бэкдор встроили или майнер. Опять же, у исследователей безопасности уходит куча времени на анализ этой фигни вместо разбора кода.
И всё ради сомнительно-призрачной возможности «а вдруг это нам поможет...».
Код приложений на Android смотрел мало, но вот за обфускацию-минификацию JS-скриптов в вебе очень хочется поотрывать руки. Бывает, упрёшься в какой-нибудь упакованный-минифицированный JS-файл — и час ковыряешься, чтобы понять, что это за зверь, что он делает и на кой чёрт он там нужен.
Думаю, если бы занимался Андроидом, то хотелось бы поотрывать руки и здешним обфускаторам.
Если у вас есть ОМГ ВАЖНАЯ СЕКРЕТНАЯ УТЮТЮТЮТЮ логика — так и вычисляйте её на бэкенде, нечего её на клиентскую часть пихать. А на клиенте оставьте прозрачный и простой код.
Однако, бывает, что бизнес-логика принуждает разработчиков к хранению токенов, ключей и специфических элементов логики кода внутри приложения. Надеюсь, эта статья поможет вам, если вы не хотите делиться такими чувствительными данными и быть “открытой книгой” для ресерчеров.
Так после обфускации все «токены, ключи и специфические элементы логики» по-прежнему остаются на клиенте. Просто вместо 15 минут нужно, скажем, 15 часов. Ну или 15 дней. Это как ключ от двери не рядом на гвоздик повесить, а положить под коврик.
Сделать автоконфигурируемый инстанс с OpenVPN Access Server, чтобы после его развёртывания можно было сразу получить доступ к VPN. Логин и пароль можно увидеть в панели управления инстансом, а конфигурационный файл можно скачать с веб-интерфейса Access Server.
Я такую конфигурацию встречал у Vultr (документация есть здесь), и это дико удобно. Даже не нужно логиниться на сервер — всё доступно и работает «из коробки».
Да, действительно, проглядел этот момент. Спасибо.
Правда, даже с этим шаблоном сервис «из коробки» у меня не запустился. Получилось сделать по инструкции с Linode.
1. Нашёл на сайте уязвимость, позволяющую изменять цену покупки товара (проще говоря — покупать товары / услуги бесплатно). Проверил (оплатив с личной карты) — работает. Сообщил об этом поддержке, попросил отменить заказ. Предоставил все данные об уязвимости. Вознаграждения не требую. Какая ответственность мне грозит?
2. Аналогично, но вместо заказа за 0 рублей нашёл возможность получить доступ к данным пользователей / конфигурации сервера. Какая ответственность мне грозит?
Придётся платить, или они повымрут, как и все, кто упорно не хочет внедрять дистанционное обслуживание.
Личные кабинеты на сайте сделали. Покупку полиса ОСАГО онлайн — сделали (хоть пока и со скрипом, но работает — я сам там оформлял).
И это тоже сделают, никуда не денутся.
Ничего, со временем таких людей будет всё больше. И страховые со временем привыкнут.
Когда-то и коммунальные платежи только на почте платили и в сберкассах. А теперь там только бабушки стоят.
ИМХО, задача «как бы платить им поменьше денег, что б они при этом лучше работали» абсолютно естественна для любого бизнеса. Было бы странно, если бы владелец компании думал не о своей прибыли, а о том, как бы побольше денег раздать своим работникам.
Если напишете про механику безопасности (хотя бы в общих чертах, что можно вынести на публику) — уверен, многим будет интересно почитать.
Какие стоят задачи, какие есть отделы, кто чем занимается, какие используются СЗИ, какие были в практике интересные случаи и так далее.
выбрали быстро и дешево и почему то недовольны тем, что не получили комфорта
Вот и я не понимаю, откуда недовольство. Когда я планирую поездку на БлаБлаКаре, я чётко осознаю, что это, по сути, добровольное сотрудничество пассажира и водителя, и никто никому ничем не обязан. А автор статьи в этом сервисе видит такси, которое должно его куда-то отвезти, да ещё и с SLA и комфортом. Но нет, чувак, это совсем другие деньги уже получаются))
просто быстая езда имеет приоритет выше, чем безопасность и комфорт
Вообще, БлаБлаКар часто получается лучше по целому ряду причин:
— дешевле;
— быстрее;
— проще найти машину (ближайшие автобусы часто бывают переполнены);
— можно попросить подъехать поближе или подождать (с поездами такое не прокатывает, особенно второе);
— иногда ближе (если повезло, то пункт отправления и прибытия оказывается гораздо удобнее автобуса);
— в ряде случаев получается комфортнее за счёт того, что в машине находится 4 человека, а не 60, и обычно нет беременных детей и домашних животных.
Так что я не был бы так категоричен. Есть везде и плюсы, и минусы. Я больше люблю поезд, но только из-за скорости и предсказуемости (нет пробок) — а вот по всем остальным параметрам БлаБлаКар просто рвёт всех.
Что же до рисков — да, они есть. Но в целом, можно и в автобусе сгореть, и в поезде убиться. Историю с убитой во время поездки женщиной мусолят уже неделю — но почему-то не говорят, что с тем же успехом и автобус может в ДТП попасть, и в поезде / на вокзале пьяный с ножом попасться. Каждый сам определяет для себя приемлемый риск. Зачем лезть сюда с регулированием?
Я полностью согласен, что законы должны соблюдаться. Но в данном случае их нарушения нет.
А стремление всё на свете зарегулировать мне не нравится. Я и решения суда против Яндекс.Такси не поддерживаю, когда их обязали компенсировать ущерб клиенту. Да с чего бы? Хотите ответственности и страховки — вызывайте такси из официального таксопарка, переплачивайте вдвое и езжайте. Хотите сэкономить — вызывайте агрегатора с самым дешёвым тарифом, но будьте готовы к неместному водителю, убитой машине и не самой безопасной поездке под вашу ответственность. Оба варианта имеют право на жизнь.
Но у нас почему-то все хотят побольше сервиса, и чтоб бесплатно.
Именно так! И сервис рассчитан на людей, которых это устраивает. Ожидать чего-то другого — это как прийти в Макдональдс и потребовать стейк. Или личного официанта.
Нет, не бред. БлаБлаКар должен содержать некоторую инфраструктуру, сервера, персонал и так далее. Вот на это и идут платежи пользователей. Плюс прибыль, разумеется, иначе на кой чёрт это всё вообще надо.
Поездки «с гарантией», очевидно, будут стоить не меньше автобусных — что в условиях доходов населения ставит на этой идее большой, жирный крест.
В общем, если и ставить вопрос об ответственности, то делать это можно в формате «А было бы здорово, если бы БлаБлаКар ввёл бы кроме привычных поездок ещё и поездки с гарантиями по цене как у РЖД». А Вы этот вопрос ставите в виде «БлаБлаКар мне должен».
Хотя никто Вам ничего не должен. И должен не будет. И слава богу, потому что я, например, не хочу переплачивать втридорога за гарантии, которые мне не нужны.
И всё ради сомнительно-призрачной возможности «а вдруг это нам поможет...».
Думаю, если бы занимался Андроидом, то хотелось бы поотрывать руки и здешним обфускаторам.
Если у вас есть ОМГ ВАЖНАЯ СЕКРЕТНАЯ УТЮТЮТЮТЮ логика — так и вычисляйте её на бэкенде, нечего её на клиентскую часть пихать. А на клиенте оставьте прозрачный и простой код.
Так после обфускации все «токены, ключи и специфические элементы логики» по-прежнему остаются на клиенте. Просто вместо 15 минут нужно, скажем, 15 часов. Ну или 15 дней. Это как ключ от двери не рядом на гвоздик повесить, а положить под коврик.
Я такую конфигурацию встречал у Vultr (документация есть здесь), и это дико удобно. Даже не нужно логиниться на сервер — всё доступно и работает «из коробки».
Может быть, решите когда-нибудь реализовать)
Правда, даже с этим шаблоном сервис «из коробки» у меня не запустился. Получилось сделать по инструкции с Linode.
2. Аналогично, но вместо заказа за 0 рублей нашёл возможность получить доступ к данным пользователей / конфигурации сервера. Какая ответственность мне грозит?
Личные кабинеты на сайте сделали. Покупку полиса ОСАГО онлайн — сделали (хоть пока и со скрипом, но работает — я сам там оформлял).
И это тоже сделают, никуда не денутся.
Когда-то и коммунальные платежи только на почте платили и в сберкассах. А теперь там только бабушки стоят.
Какие стоят задачи, какие есть отделы, кто чем занимается, какие используются СЗИ, какие были в практике интересные случаи и так далее.
Вообще, БлаБлаКар часто получается лучше по целому ряду причин:
— дешевле;
— быстрее;
— проще найти машину (ближайшие автобусы часто бывают переполнены);
— можно попросить подъехать поближе или подождать (с поездами такое не прокатывает, особенно второе);
— иногда ближе (если повезло, то пункт отправления и прибытия оказывается гораздо удобнее автобуса);
— в ряде случаев получается комфортнее за счёт того, что в машине находится 4 человека, а не 60, и обычно нет беременных детей и домашних животных.
Так что я не был бы так категоричен. Есть везде и плюсы, и минусы. Я больше люблю поезд, но только из-за скорости и предсказуемости (нет пробок) — а вот по всем остальным параметрам БлаБлаКар просто рвёт всех.
Что же до рисков — да, они есть. Но в целом, можно и в автобусе сгореть, и в поезде убиться. Историю с убитой во время поездки женщиной мусолят уже неделю — но почему-то не говорят, что с тем же успехом и автобус может в ДТП попасть, и в поезде / на вокзале пьяный с ножом попасться. Каждый сам определяет для себя приемлемый риск. Зачем лезть сюда с регулированием?
А какие законы нарушаются сейчас?
Я полностью согласен, что законы должны соблюдаться. Но в данном случае их нарушения нет.
А стремление всё на свете зарегулировать мне не нравится. Я и решения суда против Яндекс.Такси не поддерживаю, когда их обязали компенсировать ущерб клиенту. Да с чего бы? Хотите ответственности и страховки — вызывайте такси из официального таксопарка, переплачивайте вдвое и езжайте. Хотите сэкономить — вызывайте агрегатора с самым дешёвым тарифом, но будьте готовы к неместному водителю, убитой машине и не самой безопасной поездке под вашу ответственность. Оба варианта имеют право на жизнь.
Но у нас почему-то все хотят побольше сервиса, и чтоб бесплатно.
Поездки «с гарантией», очевидно, будут стоить не меньше автобусных — что в условиях доходов населения ставит на этой идее большой, жирный крест.
В общем, если и ставить вопрос об ответственности, то делать это можно в формате «А было бы здорово, если бы БлаБлаКар ввёл бы кроме привычных поездок ещё и поездки с гарантиями по цене как у РЖД». А Вы этот вопрос ставите в виде «БлаБлаКар мне должен».
Хотя никто Вам ничего не должен. И должен не будет. И слава богу, потому что я, например, не хочу переплачивать втридорога за гарантии, которые мне не нужны.