Вы знаете оказыаеться действительно я был залогинен давно (не обратил даже внимание ) ))) без регистрации можно только смотреть отчёты . Создать свой модно тоже бесплатно но регистрация нужна .
)) Надеюсь нет. Я просто пример привел . чтобы гарантированно исключить такую уязвимость нужна двухфакторная аутентификация , в рф есть например Яндекс ключ ,но я считаю что для сервиса через который можно получить доступ в госуслуги необходим уровень безопасности даже лучше чем гугл аутентификатор , но тут нет даже его (подобного сервиса и ключами)., хотя бы Яндекс бы ключи подключили из того что уже есть . Но конечно нужен уровень безопасности выше.
спасибо за коммент по большинству пунктов согласен
да Origin/Referer прокси подставит что хочет это работает от CSRF а не от server-to-server проксирования тут моя ошибка
по SDK-токену тоже прав статический api_id вытаскивается из APK за пять минут сам по себе он ничего не даёт . работает только в связке с app attestation - Play Integrity у гугла или DeviceCheck у эпла . вот этот токен серверный бот атакующего получить не сможет потому что гугл и эпл проверяют что есть реальное устройство и подлинная подпись приложения . без attestation вызов /api/send-code просто не должен проходить . писать надо было сразу про attestation а не про SDK-токен в общем
JA3/JA4 как session-binding да не работает согласен атакующий сам и есть initial-клиент у него всё совпадёт . но как сигнал на стороне max смысл какой то есть когда один fingerprint лезет на десятки разных номеров за час это паттерн прокси-кита а не нормального юзера . но это уже anomaly detection а не привязка тут ты тоже прав я в отчёте смешал две разные штуки
про "сотни запросов в день с одного ИП" - честно гипотеза . логов max у меня нету подтвердить не могу . оператор вполне может крутить через резидентские прокси или симбокс с реконнектом тогда ИП будет постоянно новый . так что рейт-лимит по сорс ИП реально не панацея нужен лимит по таргет-номеру (один телефон не получает смс чаще например пяти раз в час) и тут уже сложнее обойти
если совсем коротко суть не в этих мерах по отдельности . api max не проверяет что /api/send-code зовёт реальное приложение max а не левый сервер . из этого растёт вся атака кто угодно поднимает прокси-фронт юзер вводит номер прокси проксирует запрос в реальный апи max шлёт настоящий смс юзер вводит код прокси проксирует код получает sessionToken заходит в аккаунт . cloud password проксируется через /api/sign-in-2fa тем же способом 2фа не помогает
реально закрывают это только две вещи
первое app attestation на /api/send-code . серверный бот аттестейшен от гугла/эпла не получит ему нечем подтвердить что он реальное приложение
второе push-confirmation в активные сессии при попытке нового входа как у телеги whatsapp signal . даже если каким то чудом attestation обошли без подтверждения с уже активного устройства жертвы новая сессия не выпускается
всё остальное (Origin SDK-токен в одиночку JA3-привязка IP-лимиты) слабые меры тут ты прав . спасибо что разобрал внимательно сам бы не заметил часть слабостей
Все верно написано если регистрироваться из рф то только бесплатные приложения либо реклама либо донат на сторонни сервисы либо оплата про например через сторонии сервисы . Чтобы зарегистрировать акк на др страну нужно иметь прописку в др стране подтвердить это .
я думаю что термин вайб кодинг уже потерял изначальную дефиницию , вайб кодерами сейчас принято называть всех кто хоть как то использует ИИ для написания кода ... хотя я лично думаю что программист vs вайб кодер выдуманное противостояние ИИ это просто инструмент а не замена программистов уровня сеньор . agentic engineering интересный термин
тема оказалась интересной, поэтому решил не мучить комментарии, а написать отдельную статью со всеми подробностями — от регистрации Apple Developer из РФ до автоматической сборки через GitHub Actions. Когда выложу — скину ссылку сюда.... не для того что бы лайки получить просто всеми интересно . сегодня выложу . будет на скорую руку не придирайтесь )) главное суть будет
Так и есть- уже переехали .
Вы знаете оказыаеться действительно я был залогинен давно (не обратил даже внимание ) ))) без регистрации можно только смотреть отчёты . Создать свой модно тоже бесплатно но регистрация нужна .
Где можно проверить информацию ?
все верно . иностранный след нашел но это не суть статьи . спасибо за резюме ( не ирония)
)) потому что он не помогает . но ты понял суть
возможно вы правы. Самое интересное что группа которую я описал по прежнему работает и сегодня сменили очередной хост .и меры никто не принимает .
)) Надеюсь нет. Я просто пример привел . чтобы гарантированно исключить такую уязвимость нужна двухфакторная аутентификация , в рф есть например Яндекс ключ ,но я считаю что для сервиса через который можно получить доступ в госуслуги необходим уровень безопасности даже лучше чем гугл аутентификатор , но тут нет даже его (подобного сервиса и ключами)., хотя бы Яндекс бы ключи подключили из того что уже есть . Но конечно нужен уровень безопасности выше.
Она приватная пок .я открою доступ как закончу исправлять ошибки пришлю вам в личку тоже.
спасибо за коммент по большинству пунктов согласен
да Origin/Referer прокси подставит что хочет это работает от CSRF а не от server-to-server проксирования тут моя ошибка
по SDK-токену тоже прав статический api_id вытаскивается из APK за пять минут сам по себе он ничего не даёт . работает только в связке с app attestation - Play Integrity у гугла или DeviceCheck у эпла . вот этот токен серверный бот атакующего получить не сможет потому что гугл и эпл проверяют что есть реальное устройство и подлинная подпись приложения . без attestation вызов /api/send-code просто не должен проходить . писать надо было сразу про attestation а не про SDK-токен в общем
JA3/JA4 как session-binding да не работает согласен атакующий сам и есть initial-клиент у него всё совпадёт . но как сигнал на стороне max смысл какой то есть когда один fingerprint лезет на десятки разных номеров за час это паттерн прокси-кита а не нормального юзера . но это уже anomaly detection а не привязка тут ты тоже прав я в отчёте смешал две разные штуки
про "сотни запросов в день с одного ИП" - честно гипотеза . логов max у меня нету подтвердить не могу . оператор вполне может крутить через резидентские прокси или симбокс с реконнектом тогда ИП будет постоянно новый . так что рейт-лимит по сорс ИП реально не панацея нужен лимит по таргет-номеру (один телефон не получает смс чаще например пяти раз в час) и тут уже сложнее обойти
если совсем коротко суть не в этих мерах по отдельности . api max не проверяет что /api/send-code зовёт реальное приложение max а не левый сервер . из этого растёт вся атака кто угодно поднимает прокси-фронт юзер вводит номер прокси проксирует запрос в реальный апи max шлёт настоящий смс юзер вводит код прокси проксирует код получает sessionToken заходит в аккаунт . cloud password проксируется через /api/sign-in-2fa тем же способом 2фа не помогает
реально закрывают это только две вещи
первое app attestation на /api/send-code . серверный бот аттестейшен от гугла/эпла не получит ему нечем подтвердить что он реальное приложение
второе push-confirmation в активные сессии при попытке нового входа как у телеги whatsapp signal . даже если каким то чудом attestation обошли без подтверждения с уже активного устройства жертвы новая сессия не выпускается
всё остальное (Origin SDK-токен в одиночку JA3-привязка IP-лимиты) слабые меры тут ты прав . спасибо что разобрал внимательно сам бы не заметил часть слабостей
это не мой комент ))) но шутку оценил лайк поставил.
всегда рад помочь
https://habr.com/ru/articles/1018714/ инструкция пишите в личку помогу никаких рефералов просто инструкция))
Все верно написано если регистрироваться из рф то только бесплатные приложения либо реклама либо донат на сторонни сервисы либо оплата про например через сторонии сервисы . Чтобы зарегистрировать акк на др страну нужно иметь прописку в др стране подтвердить это .
Согласен с вами . фраза не нужен и точка это гипербола. Спасибо за конструктивную критику.
я думаю что термин вайб кодинг уже потерял изначальную дефиницию , вайб кодерами сейчас принято называть всех кто хоть как то использует ИИ для написания кода ... хотя я лично думаю что программист vs вайб кодер выдуманное противостояние ИИ это просто инструмент а не замена программистов уровня сеньор . agentic engineering интересный термин
Так и есть
Я взял мак у друга чтобы посмотреть как там работает у меня правда нет mac
https://habr.com/ru/articles/1018714/
https://habr.com/ru/articles/1018714/ вот инструкция
тема оказалась интересной, поэтому решил не мучить комментарии, а написать отдельную статью со всеми подробностями — от регистрации Apple Developer из РФ до автоматической сборки через GitHub Actions. Когда выложу — скину ссылку сюда.... не для того что бы лайки получить просто всеми интересно . сегодня выложу . будет на скорую руку не придирайтесь )) главное суть будет