Pull to refresh

Comments 9

в одной большой конторе в интранете использовалось большое количество с систем с неправильным сертификатом (не на тот домен, доступ по IP адресу, самоподписанные сертификаты без нормального роллаута private CA и т.д.), в итоге пользователи привыкли «игнорировать» предупреждение о проблеме с сертификатом. Такого рода «привычка» может привести к таким же последствиям
Таких контор много. Я в одной РФ конторе, крупоной… прям в мануале видел: "… Вы увидите окошко о не действительном сертификате. <скриншот окошка>. Пожалуйста нажмите кнопку Игнорировать. ..." Дело в том, что бы построить процесс с сертификатами для многих гиморно — и особенно если это какая-нить админская фигня доступная только с внутреннего интерфейса. Все так надо правильно рассчитывать риски и не стрелять из пушки по воробьям.
В таких случаях лучше вообще без SSL
У андроид платформы ведь еще немаленькое разнообразие магазинов приложений (гуглплей, самсунго-яндекс-сторы, андроид-маркет, зарубежных так вообще десятки) — можно размещать фейковые приложения, уследить за всеми магазинами не просто будет.
Банк-клиенты выглядят как настоящие, только не радуют

Странно, не встречал пиннинга в Google Play. Android 4.2.2, Play последней версии.
Постоянно слежу за трафиком мобильпых приложений. Больше всего пугают те приложения, которые на буквально каждое действие отправляют сообщение об этом на сервер, да еще и по plain http.
Больше всего пугают те приложения, которые на буквально каждое действие отправляют сообщение об этом на сервер, да еще и по plain http.

Ну Twitter и Facebook, а еще кто?
Даже скачивать боюсь, но спасибо.
Спасибо за статью. Не могли бы вы опубликовать статью с подробным описанием как провести тестирование на подобные уязвимости для своего приложения / приложения своего банка? Да, подобная статья позволит перехватывать данные и чужих приложений, но, наверное, те, кому это нужно, уже и так знают как это делается.
Sign up to leave a comment.