Phorum.com.gr

#OURANIA88

εννοείται, πώς θα κατακτήσει τον κόσμο ο Πρόεδρος Σι χωρίς τα ντατα του Κεβ απ' το Κροηντον και της Ουρανίας88

Συγγνώμη, αλλά όλα αυτά τα δεδομένα τα συλλέγουν third party libraries στα περισσότερα apps και για να είμαι ακριβέστερος, το google/firebase analytics, καθώς και το firebase crashlytics libraries. Συμμετέχω στο development ενός app το οποίο είναι κομμάτι ενός προϊόντος/συσκευής και συλλέγουμε δεδομένα για το navigation εντός του app (δηλαδή σε ποιες οθόνες πηγαίνει ο χρήστης κατά την περιήγησή του εντός της εφαρμογής), για να μπορούμε να έχουμε μια εικόνα για το user experience, αλλά και για να ξέρουμε που σκαλώνουν οι χρήστες. Για προφανείς λόγους, το crashlytics library μας δίνει μια εικόνα για το τι πήγε στραβά και σε ποιο σημείο. Ε, ενώ χρειαζόμαστε μόνο αυτήν την πληροφορία, το analytics και το crashlytics μας δίνει τις περισσότερες πληροφορίες που αναφέρονται παραπάνω, από την ηλικία των χρηστών μέχρι και το πάροχό τους.

Τώρα, αυτό που αναφέρει παραπάνω οτι κοιτάζει τι εφαρμογές είναι εγκατεστημένες, είναι ένα κομμάτι του ελέγχου για το αν το κινητό είναι rooted (για τα android τουλάχιστον, δεν ασχολούμαι με iOS development). Για την ακρίβεια, ψάχνουν να βρουν αν είναι εγκατεστημένο το magisk. Και το pokemon go το έκανε και πολλές άλλες εφαρμογές το κάνουν. Τώρα, γιατί να μην θέλεις να τρέχει η εφαρμογή σου σε rooted ή jailbroken κινητό; Γιατί π.χ. δεν θέλεις να κάνεις expose τα API keys και urls που χρησιμοποιείς, ή τα pinned certificates.

Βέβαια, για να μην κρυβόμαστε πίσω από το δάχτυλό μας, προφανώς το TikTok συλλέγει δεδομένα για advertisement γιατί αυτό είναι το business model της εταιρίας, δηλαδή με κάποιο τρόπο πρέπει να βγάλει λεφτά. Δεν καταλαβαίνω όμως γιατί όταν το κάνουν κινέζικες εταιρίες είναι αβαβά, αλλά όταν το κάνουν αμερικάνικες είναι οκ.

Παραπάνω ο κύριος, δεν μας είπε σε ποια urls στέλνονται τα analytics κι ας έκανε reverse engineering. Στέλνονται όντως σε κάποιο κινέζικο url, ή πάνε στην google και γίνεται φασαρία χωρίς λόγο;

a8s έγραψε: 29 Ιουν 2020, 10:33 Τώρα, αυτό που αναφέρει παραπάνω οτι κοιτάζει τι εφαρμογές είναι εγκατεστημένες, είναι ένα κομμάτι του ελέγχου για το αν το κινητό είναι rooted (για τα android τουλάχιστον, δεν ασχολούμαι με iOS development). Για την ακρίβεια, ψάχνουν να βρουν αν είναι εγκατεστημένο το magisk. Και το pokemon go το έκανε και πολλές άλλες εφαρμογές το κάνουν. Τώρα, γιατί να μην θέλεις να τρέχει η εφαρμογή σου σε rooted ή jailbroken κινητό; Γιατί π.χ. δεν θέλεις να κάνεις expose τα API keys και urls που χρησιμοποιείς, ή τα pinned certificates.

Ναι εντάξει, δεν έχετε κανέναν σοβαρό λόγο να ελέγχετε αν το κινητό είναι rooted, πέρα ίσως από legalities απο αφορούν τη χρήση του app store σαν developers. (Υποθέτω)

Αυτά για τα api keys, urls και pinned certificates είναι παπαριές, με απλή στατική ανάλυση του binary θα βρεθούν, οπότε υποθέτω δεν είναι θα εφησυχαστεί κάποιος στο 'δεν τρέχω σε rooted device' και θα το πάει σε ένα πιο περίπλοκο obfuscation/encryption scheme, κάτι που καθιστά moot το σκηνικό του να μην τρέχω σε rooted device για να προστατεύσω τα secrets μου. Ούτε το rationale το ότι το device είναι unsafe λόγω root access του χρήστη βγάζει νόημα. Ο χρήστης το έκανε root, αυτό ήθελε, οπότε ξέρει τι κάνει. Ένα malware που θα κάνει leverage ένα LPE δεν θα σου ρουτάρει τη συσκευή με τον ίδιο τρόπο anyway, οπότε δεν σου προσφέρει κάποια ιδιαίτερη ασφάλεια.

klg έγραψε: 29 Ιουν 2020, 11:03
Αυτά για τα api keys, urls και pinned certificates είναι παπαριές, με απλή στατική ανάλυση του binary θα βρεθούν, οπότε υποθέτω δεν είναι θα εφησυχαστεί κάποιος στο 'δεν τρέχω σε rooted device' και θα το πάει σε ένα πιο περίπλοκο obfuscation/encryption scheme, κάτι που καθιστά moot το σκηνικό του να μην τρέχω σε rooted device για να προστατεύσω τα secrets μου. Ούτε το rationale το ότι το device είναι unsafe λόγω root access του χρήστη βγάζει νόημα. Ο χρήστης το έκανε root, αυτό ήθελε, οπότε ξέρει τι κάνει. Ένα malware που θα κάνει leverage ένα LPE δεν θα σου ρουτάρει τη συσκευή με τον ίδιο τρόπο anyway, οπότε δεν σου προσφέρει κάποια ιδιαίτερη ασφάλεια.

Δεν θα διαφωνήσω καθόλου στα παραπάνω. Αν θέλει κάποιος για τον οποιοδήποτε λόγο να κάνει compromise το app σου και είναι αρκετά μερακλής, θα τα καταφέρει με τον έναν ή τον άλλο τρόπο. Εξάλλου, δεν υπάρχει 100% trustworthy τρόπος να εγγυηθείς οτι μπορείς να κάνεις detect οτι ένα device είναι rooted ή όχι.

Επειδή φαίνεται να γνωρίζεις, υποθέτω γνωρίζεις οτι αν ένα app πρέπει να τρέχει σε rooted devices ή όχι, δεν είναι απόφαση που την παίρνουν οι developers. Απλά κάποιος μανατζαραίος προσπαθεί να κάνει το κομμάτι του στους από πάνω του

[offtopic]
Η τελευταία λέξη της μόδας, είναι να κρύβεις sensitive data μέσα σε native libraries, γιατί πολύ απλά τα QA teams και οι security consultants που κάνουν security tests δεν μπαίνουν στον κόπο να ψάξουν στα libraries για τέτοια δεδομένα. Το μαθαίνετε εδώ, εκμεταλλευτείτε το
[/offtopic]

a8s έγραψε: 29 Ιουν 2020, 11:41

klg έγραψε: 29 Ιουν 2020, 11:03
Αυτά για τα api keys, urls και pinned certificates είναι παπαριές, με απλή στατική ανάλυση του binary θα βρεθούν, οπότε υποθέτω δεν είναι θα εφησυχαστεί κάποιος στο 'δεν τρέχω σε rooted device' και θα το πάει σε ένα πιο περίπλοκο obfuscation/encryption scheme, κάτι που καθιστά moot το σκηνικό του να μην τρέχω σε rooted device για να προστατεύσω τα secrets μου. Ούτε το rationale το ότι το device είναι unsafe λόγω root access του χρήστη βγάζει νόημα. Ο χρήστης το έκανε root, αυτό ήθελε, οπότε ξέρει τι κάνει. Ένα malware που θα κάνει leverage ένα LPE δεν θα σου ρουτάρει τη συσκευή με τον ίδιο τρόπο anyway, οπότε δεν σου προσφέρει κάποια ιδιαίτερη ασφάλεια.

Δεν θα διαφωνήσω καθόλου στα παραπάνω. Αν θέλει κάποιος για τον οποιοδήποτε λόγο να κάνει compromise το app σου και είναι αρκετά μερακλής, θα τα καταφέρει με τον έναν ή τον άλλο τρόπο. Εξάλλου, δεν υπάρχει 100% trustworthy τρόπος να εγγυηθείς οτι μπορείς να κάνεις detect οτι ένα device είναι rooted ή όχι.

Επειδή φαίνεται να γνωρίζεις, υποθέτω γνωρίζεις οτι αν ένα app πρέπει να τρέχει σε rooted devices ή όχι, δεν είναι απόφαση που την παίρνουν οι developers. Απλά κάποιος μανατζαραίος προσπαθεί να κάνει το κομμάτι του στους από πάνω του

[offtopic]
Η τελευταία λέξη της μόδας, είναι να κρύβεις sensitive data μέσα σε native libraries, γιατί πολύ απλά τα QA teams και οι security consultants που κάνουν security tests δεν μπαίνουν στον κόπο να ψάξουν στα libraries για τέτοια δεδομένα. Το μαθαίνετε εδώ, εκμεταλλευτείτε το
[/offtopic]

Εντάξει ναι, δεν έκανα κριτική σε έσενα, το έγραψα γενικά σαν point με αφορμή το post σου. Αντιλαμβάνομαι ότι κάποιος clueless "manager" θα πρότεινε αυτή την ηλιθιότητα.

klg έγραψε: 29 Ιουν 2020, 11:48

a8s έγραψε: 29 Ιουν 2020, 11:41

klg έγραψε: 29 Ιουν 2020, 11:03
Αυτά για τα api keys, urls και pinned certificates είναι παπαριές, με απλή στατική ανάλυση του binary θα βρεθούν, οπότε υποθέτω δεν είναι θα εφησυχαστεί κάποιος στο 'δεν τρέχω σε rooted device' και θα το πάει σε ένα πιο περίπλοκο obfuscation/encryption scheme, κάτι που καθιστά moot το σκηνικό του να μην τρέχω σε rooted device για να προστατεύσω τα secrets μου. Ούτε το rationale το ότι το device είναι unsafe λόγω root access του χρήστη βγάζει νόημα. Ο χρήστης το έκανε root, αυτό ήθελε, οπότε ξέρει τι κάνει. Ένα malware που θα κάνει leverage ένα LPE δεν θα σου ρουτάρει τη συσκευή με τον ίδιο τρόπο anyway, οπότε δεν σου προσφέρει κάποια ιδιαίτερη ασφάλεια.

Δεν θα διαφωνήσω καθόλου στα παραπάνω. Αν θέλει κάποιος για τον οποιοδήποτε λόγο να κάνει compromise το app σου και είναι αρκετά μερακλής, θα τα καταφέρει με τον έναν ή τον άλλο τρόπο. Εξάλλου, δεν υπάρχει 100% trustworthy τρόπος να εγγυηθείς οτι μπορείς να κάνεις detect οτι ένα device είναι rooted ή όχι.

Επειδή φαίνεται να γνωρίζεις, υποθέτω γνωρίζεις οτι αν ένα app πρέπει να τρέχει σε rooted devices ή όχι, δεν είναι απόφαση που την παίρνουν οι developers. Απλά κάποιος μανατζαραίος προσπαθεί να κάνει το κομμάτι του στους από πάνω του

[offtopic]
Η τελευταία λέξη της μόδας, είναι να κρύβεις sensitive data μέσα σε native libraries, γιατί πολύ απλά τα QA teams και οι security consultants που κάνουν security tests δεν μπαίνουν στον κόπο να ψάξουν στα libraries για τέτοια δεδομένα. Το μαθαίνετε εδώ, εκμεταλλευτείτε το
[/offtopic]

Εντάξει ναι, δεν έκανα κριτική σε έσενα, το έγραψα γενικά σαν point με αφορμή το post σου. Αντιλαμβάνομαι ότι κάποιος clueless "manager" θα πρότεινε αυτή την ηλιθιότητα.

Έχεις μαλακώσει υπερβολικά πολύ εσύ τελευταία.

Spoiler

sys3x έγραψε: 29 Ιουν 2020, 12:23

klg έγραψε: 29 Ιουν 2020, 11:48

a8s έγραψε: 29 Ιουν 2020, 11:41

Δεν θα διαφωνήσω καθόλου στα παραπάνω. Αν θέλει κάποιος για τον οποιοδήποτε λόγο να κάνει compromise το app σου και είναι αρκετά μερακλής, θα τα καταφέρει με τον έναν ή τον άλλο τρόπο. Εξάλλου, δεν υπάρχει 100% trustworthy τρόπος να εγγυηθείς οτι μπορείς να κάνεις detect οτι ένα device είναι rooted ή όχι.

Επειδή φαίνεται να γνωρίζεις, υποθέτω γνωρίζεις οτι αν ένα app πρέπει να τρέχει σε rooted devices ή όχι, δεν είναι απόφαση που την παίρνουν οι developers. Απλά κάποιος μανατζαραίος προσπαθεί να κάνει το κομμάτι του στους από πάνω του

[offtopic]
Η τελευταία λέξη της μόδας, είναι να κρύβεις sensitive data μέσα σε native libraries, γιατί πολύ απλά τα QA teams και οι security consultants που κάνουν security tests δεν μπαίνουν στον κόπο να ψάξουν στα libraries για τέτοια δεδομένα. Το μαθαίνετε εδώ, εκμεταλλευτείτε το
[/offtopic]

Εντάξει ναι, δεν έκανα κριτική σε έσενα, το έγραψα γενικά σαν point με αφορμή το post σου. Αντιλαμβάνομαι ότι κάποιος clueless "manager" θα πρότεινε αυτή την ηλιθιότητα.

Έχεις μαλακώσει υπερβολικά πολύ εσύ τελευταία.

Spoiler

Εντάξει ρε μαλάκα αφού συμφώνησε μαζί μου τι να του πω δηλαδή; Δεν είμαι _τόσο_ sociopath.

Μαυροβασίλης έγραψε: 29 Ιουν 2020, 09:50 εννοείται, πώς θα κατακτήσει τον κόσμο ο Πρόεδρος Σι χωρίς τα ντατα του Κεβ απ' το Κροηντον και της Ουρανίας88

Η αρχική μου αντίδραση θα ήταν πανόμοια με την δική σου, αλλά μετα σκέφτηκα οτι με τα ντατα του Κεβ και της Ουρανιας χτίστηκε το ΓκουΓκλ και το ΦουΜπου και προβληματίστηκα.


Επίσης αναρωτιέμαι αν ξαφνικά τίθεται θέμα ενος εύκολα προσβάσιμου μποτνετ για τον Χι. Ιντερεστινγκ...

οι ΗΠΑ θα απαγορεύσουν το TikTok εκτός και αν πουληθεί στη Microsoft

https://www.reuters.com/article/us-usa- ... SKCN24W2PN

dna replication έγραψε: 01 Αύγ 2020, 16:16 οι ΗΠΑ θα απαγορεύσουν το TikTok εκτός και αν πουληθεί στη Microsoft

https://www.reuters.com/article/us-usa- ... SKCN24W2PN

Δικτατορία κανονική

Κατά τα άλλα, χού ρε απροσάρμοστα μπαρμπάδια, πιάστε το Τικ-Τοκ και αφήστε τo γεροντίστικο Facebook.

2 δισεκατομύρια downloads ήδη.
Κεφαλαιοποίηση στοχεύουν $50-100 δισ, αλλά μπορεί να φτάσει και $180 δις... λέει

Υπερδιπλάσιο της αξίας μιας, εμ, Goldman Sachs ας πούμε. Και μετα σου λέει ΔΕΝ έχει τρελαθεί ο πλανήτης.

To Tik-Tok είναι άψογο. Απλά σε επίπεδο πλανήτη κάποιοι τρέμουν που βλέπουν άλλους να έχουν αλώσει την νεολαία τους, και σε επίπεδο phorum o μέσος όρος έχει πια γίνει μεσηλικομπαρμπάδικο τζόβενο που αρχίζει να μην πολυκαταλαβαίνει την σημερινή νεανική κουλτούρα.

Δημοκρατικέ, εσύ κάθεσαι με τη νεολαία;