Comments 27
а) скорее всего анонс приложения можно сделать в блогах на фрилансе, там фрилансеров с ресурса больше чем на пда, возможно проставит больше 8 человек. На удивление модераторы более или менее адекватно относятся к анонсам подобных сервисов, если аккуратно преподнести.
б) фритрай посылает пароль напрямую? не хэш?
в) если выставлено ограничение по ИП в аккаунте, оно на фритрай не распространяется?
б) фритрай посылает пароль напрямую? не хэш?
в) если выставлено ограничение по ИП в аккаунте, оно на фритрай не распространяется?
Перед написанием приложения я долго думал как же правильно подойти к получению информации о проектах и сообщениях.Купить хостинг за пару баксов, парсить фриланс на предмет проектов, со своего хостинга отдавать уже по фильтру.
Парсить сам сайт было очень ресурсоемкой задачей, ведь если в программе реализовать фильтр, то для каждого фильтра нужно было бы подгружать страницу или rss канал и разбирать его. Ну уж очень это затратное дело как для сети так и для железки.
А смысл? Приложение делал под себя, и предполагал распространение в массы, а одним из атрибутов приложения это чтение сообщений, а это опять логин и пароль, только уже на сторонний сервер.
Дык Вы же сами сказали, что не стали парсить, т.к. это «ресурсоемко».
Если бы Вы сказали, что не стали парсить, т.к. «приватная инфа есть», то вопроса бы не было.
Что касается хэшированного пароля (Вы ниже писали), то раз используется хэшированные, то на фига Вы просите пароль у юзера? Просите сразу хэш. Сбавите накал страстей на градус минимум.
Что касается доступа с «другого ИП», проверяется достаточно банально — киньте запрос через любой анонимный прокси и проверьте будет ли ответ.
Если бы Вы сказали, что не стали парсить, т.к. «приватная инфа есть», то вопроса бы не было.
Что касается хэшированного пароля (Вы ниже писали), то раз используется хэшированные, то на фига Вы просите пароль у юзера? Просите сразу хэш. Сбавите накал страстей на градус минимум.
Что касается доступа с «другого ИП», проверяется достаточно банально — киньте запрос через любой анонимный прокси и проверьте будет ли ответ.
А откуда пользователь возьмет хеш паролья? Его неоткуда получить если конечно не знаешь метод хеширования и сгенерируешь хеш сам.
Ресурсоемко это при парсинге множества страниц по фильтру. А при использовании апи эта проблема отпадает. К тому же я описал что в функционале была идея подгрузки сообщений, а это уже предполагает использование приватной информации.
Пользователи фриланса, думаю, смогут получить хэш своего пароля, особенно если метод хеширования написать там же (или в справке, если он чуть более-менее сложный), это действительно могло бы снизить подозрение. Лично я, как пользователь, выбрал бы авторизацию по хэшу, даже несмотря на сложности с получением этого хэша в мобильном аппарате.
Короткий анонс в блоге на фрилансе я написал.
Пароль хешированный посылается, плюс это требование апи
Вот про последний вопрос не вкурсе, нужно посмотреть
Пароль хешированный посылается, плюс это требование апи
Вот про последний вопрос не вкурсе, нужно посмотреть
Сори не туда ответил.
К сожалению не имею выделенного ip, поэтому не могу проверить работает ли FreeTray с блокировкой по ip. Я думаю что должен работать, так как FreeTray API позволяет только получать проекты и сообщения, но не отвечать на них. И то получать с помощью АПИ можно только новые сообщения.
> По причине той же паранойи, что у меня уведут идею я исходники не выложил, но порекомендовал людям, что через сниффер они могут посмотреть какие данные и куда отправляются, или для мониторинга фриланса в дороге они могут открыть левый аккаунт, и спокойно мониторить без страха, что у них уведут данные.
1) Не выкладывать исходники чтоб «не увели идею» — бред. В исходниках не «идея», в них «реализация». Неужели вы считаете, что эта «реализация идеи» настолько гениальна, что никто не напишет лучше? Или вам стыдно, что кто-то увидит ваш говнокод?
2)Вы сами не доверяете пользователям, почему вы считаете что должны доверять вам. Не открываете исходников — наверное, у вас есть на это причины, значит вам есть чего скрывать в своем приложении! Вы сами подогрели градус паранои вместо того, чтобы снизить.
3) «Не верите — посмотрите в исходниках» и «не верите — поставьте снифер» — разные утверждения. Более-менее адекватный IT-шник понимает, что хитрым способом можно так переслать короткую строку «логин: пароль», что даже снифером трудно отследить подвох.
4) А кстати, а где вы храните введенный пользователем логин: пароль? Вы считаете что хранение секурно? А пользователи с вами готовы поспорить, они желают убедиться сами.
1) Не выкладывать исходники чтоб «не увели идею» — бред. В исходниках не «идея», в них «реализация». Неужели вы считаете, что эта «реализация идеи» настолько гениальна, что никто не напишет лучше? Или вам стыдно, что кто-то увидит ваш говнокод?
2)
3) «Не верите — посмотрите в исходниках» и «не верите — поставьте снифер» — разные утверждения. Более-менее адекватный IT-шник понимает, что хитрым способом можно так переслать короткую строку «логин: пароль», что даже снифером трудно отследить подвох.
4) А кстати, а где вы храните введенный пользователем логин: пароль? Вы считаете что хранение секурно? А пользователи с вами готовы поспорить, они желают убедиться сами.
1) Действительно я не правильно выразился, имел ввиду именно реализацию. И да вы правы, в исходника еще присутствует говнокод, так как это мое первое приложение под андроид и я впервые программировал на java так что говнокод имеет место и мне за него стыдно. Сейчас по мерепоявления времени привожу код в порядок, и в будущем хочу его выложить в паблик.
2) я не недоверчю пользователям, просто у меня сейчас нет возможности выложить приложение в маркет, а было бы очень обидно быть по сути первым а в реалии н-ным
3)Ну адекватный IT-шник может и apk разобрать и посмотреть код.
4) введенный логин и пвроль хранятся в настройках приложении в экземпляре Preference
2) я не недоверчю пользователям, просто у меня сейчас нет возможности выложить приложение в маркет, а было бы очень обидно быть по сути первым а в реалии н-ным
3)Ну адекватный IT-шник может и apk разобрать и посмотреть код.
4) введенный логин и пвроль хранятся в настройках приложении в экземпляре Preference
В конце концов, на то она и бета, чтобы выслушать критику и пожелания и сделать полноценный всех м устраивающий релиз.
О секьюрности сохранения логина и пароля я тоже задумывался, так как не считаю этот способ особо безопасным, и это собираюст решить в следующих версиях беты.
О секьюрности сохранения логина и пароля я тоже задумывался, так как не считаю этот способ особо безопасным, и это собираюст решить в следующих версиях беты.
выслушать критику и пожелания
По-моему, некоторые иконки из последнего конкурса VK плохо сочетаются с зеленым интерфейсом free-lance.ru. Быть может стоит использовать стандартные Android drawables?
Спасибо за ссылку. Искал что то подобное но видемо не тщательно искал.
Сегодня сменю иконки на стандартные
Сегодня сменю иконки на стандартные
Ссылка интересная, только я что-то не увидел там картинок под разные разрешения. А это, мне кажется, не менее важно, чем картинки под разные версии. В нынешнем виде это скорее для «посмотреть», чем для «использовать».
Их не нужно скачивать, они идут в комплекте с android sdk. Не знаю в каких разрешениях они поставляются, но получить в коде их можно так:
Вместо {drawable_name} можно подставить например ic_menu_delete.
getResources().getDrawable(android.R.drawable.{drawable_name})Вместо {drawable_name} можно подставить например ic_menu_delete.
В том-то и дело, что далеко не все ресурсы можно использовать таким образом. В списке довольно много приватных, которые недоступны по именам (например, ic_menu_archive не доступно, по крайней мере, в 2.2 — на днях столкнулся).
Странно, у меня все нормально.
Говоря, что иконка ic_menu_archive недоступна, я имел в виду, что вы не сможете обратиться к ней через android.R.drawable.ic_menu_archive — нет такого имени в public.
А в SDK, конечно, все есть. Но не очень удобно для использования. Пока получается так: пошел на ваш сайт, посмотрел образцы картинок. Запомнил название. Попробовал использовать его через android.R.drawable. Если не вышло, пошел в SDK, нашел там этот ресурс и скопировал в свой проект (наверное, еще и имя стоит поменять, чтобы не было конфликтов). Причем скопировал не один файл, а кучу — из разных версий ОС, с разным разрешением и т.п.
Было бы удобнее, если бы на том же сайте под каждым именем ресурса была ссылка на картинку для скачивания сразу во всех вариантах, да еще с указанием, какие ресурсы доступны по имени, а какие надо копировать в свой проект.
А в SDK, конечно, все есть. Но не очень удобно для использования. Пока получается так: пошел на ваш сайт, посмотрел образцы картинок. Запомнил название. Попробовал использовать его через android.R.drawable. Если не вышло, пошел в SDK, нашел там этот ресурс и скопировал в свой проект (наверное, еще и имя стоит поменять, чтобы не было конфликтов). Причем скопировал не один файл, а кучу — из разных версий ОС, с разным разрешением и т.п.
Было бы удобнее, если бы на том же сайте под каждым именем ресурса была ссылка на картинку для скачивания сразу во всех вариантах, да еще с указанием, какие ресурсы доступны по имени, а какие надо копировать в свой проект.
Раковый вопрос, улыбнул спасибо, программу скачало так мало имхо потому что о ней никто не узнал, как бы кроме того что бы выложить ее на маркет должно быть продвижение и маркетинг, тогда люди будут качать, пробовать, оценивать, писать отзывы а это и победит страх у остальных: «у 100500 человек пароль не стырили и у меня все будет ок» это ж не пароль от контактика там люди деньги зарабатывают подход серьезней должен быть, а если вам все равно, и программа для личного пользования, то чему вы удивляетесь?
Так же давайте определимся, действительно зачем вводить пароль? Ах у вас не хватило знаний\ресурсов что б распарсить сайт и вы используете, то что попало под руку а оно просит авторизации? Простите чья это проблема ваша или пользователя?
Так же давайте определимся, действительно зачем вводить пароль? Ах у вас не хватило знаний\ресурсов что б распарсить сайт и вы используете, то что попало под руку а оно просит авторизации? Простите чья это проблема ваша или пользователя?
А так и на маркет вы ее не выложили, судя по комментам(я подумал что на 4PDA вы ее просто анонсировали), тогда вдвойне понятно, брать программу из непонятно какого источника и вводить туда пароль??? Я бы тоже не стал. Вообше брать какие либо программы из неподтвержденных источников всегда плохая затея. Неважно для кома или телефона. И как бы программы free-tray вполне достаточно для своих задач.
Дело не внехватке знаний и не в нехватке ресурсов, благо не раз парсил сайты и имеются свои сервера. Просто я старался придерживаться минимализма, т.е. один запрос и все что нужно в ответ.
В маркет я не выложил по причине отсутствия карты (Visa/MasterCard) c которой можно было бы оплатить прислаутые 25$ в Google Play. Заказал себе Яндекс Карту, на днях прийдет и сркзу в маркет выложу.
В маркет я не выложил по причине отсутствия карты (Visa/MasterCard) c которой можно было бы оплатить прислаутые 25$ в Google Play. Заказал себе Яндекс Карту, на днях прийдет и сркзу в маркет выложу.
Я не от своего имени вам рассказываю, а как пользователь видит результат ваших трудов, по моему мнению ваш вариант самый правильный, но попробуйте объясните это 100\ 1000\10 000 потенциальных пользователей, проще сделать программу как видит ее пользователь, чем оптимально, всегда пробуйте смотреть глазами того кто будет пользоваться вашим продуктом.
Проблема в «здоровой паранойи».
Вы сделали приложение для ускоспециализированной ниши, где пользователи рискуют своими реальными средствами и репутацией.
Сделали бы приложение для просмотра видео из вКонтактика, получили бы 100500 закачек и базу логинов/паролей.
Вы сделали приложение для ускоспециализированной ниши, где пользователи рискуют своими реальными средствами и репутацией.
Сделали бы приложение для просмотра видео из вКонтактика, получили бы 100500 закачек и базу логинов/паролей.
Sign up to leave a comment.
Удобство или параноя-что важнее? История одного приложения