Comments 58
Текущая реализация SSL в браузерах вводит в заблуждение пользователя, давая иллюзию безопасности.
Очень интересно.
Интересен второй пункт про HttpComponents
Чуть позже время обнаружения покемонов после появления игрока в локации увеличилось вдвое — насколько я помню, с 5 до 10 секунд.
Таймаут увеличили, чтобы ловить покемонов в едущей машине было проблематично (успеваешь проехать локацию до появления покемона), но при этом пешей/велосипедной прогулке этот таймаут не мешает.
Странная мера защиты, с учётом того, что приложение разрешает тебе ловить покемонов будучи пассажиром (вспоминаем соответствующее предупреждение). Кроме того, ловля покемонов на скорости вообще имеет довольно мало смысла — при езде по магистрали ты встретишь гораздо меньше покемонов, чем если бы просто гулял где-то по парку. Так что непонятно, зачем дополнительно обрезать хоть какое-то развлечение для скучающего пассажира.
Интересно, спасибо. Хотя я бы с радостью увидел здесь больше технических деталей.
Если вы это и имели ввиду с «полной историей взлома новой версии API покемонов», то пишите обязательно!
А еще, можно по-подробнее вот про это?
Если вы это и имели ввиду с «полной историей взлома новой версии API покемонов», то пишите обязательно!
А еще, можно по-подробнее вот про это?
Вообще, инфраструктура мобильных приложений на гитхабе довольно интересна — 2016 год позволяет делать автоматическое обновление с гитхаба
Да, технические подробности я могу описать в полной истории.
Про автоматическое обновление — всё просто. Гитхаб позволяет выкладывать релизы и даёт апи, которое позволяет проверить, последний ли у вас релиз. Если не последний, то нужно просто скачать новую версию и перенаправить пользователя на установку. Всё это можно было реализовать и раньше где-нибудь у себя на сервере, но теперь это совсем просто, прозрачно для пользователя, и гарантирует установку обновления из доверенного источника (если вы первый раз установили приложение из репозитория, то вы таки доверяете разработчику).
Про автоматическое обновление — всё просто. Гитхаб позволяет выкладывать релизы и даёт апи, которое позволяет проверить, последний ли у вас релиз. Если не последний, то нужно просто скачать новую версию и перенаправить пользователя на установку. Всё это можно было реализовать и раньше где-нибудь у себя на сервере, но теперь это совсем просто, прозрачно для пользователя, и гарантирует установку обновления из доверенного источника (если вы первый раз установили приложение из репозитория, то вы таки доверяете разработчику).
Ясно, а то я подумал может существует какая-то возможность автообновления без переустановки.
Вот мне кстати интересно, как переустанавливает без запросов сам Гугл Плей? Нельзя ли сделать самим также?
UFO just landed and posted this here
Права системного приложения, а не рутовые.
Всё так, используется доступное только для Google Play разрешение android.permission.INSTALL_PACKAGES. Тому же Yandex.Store приходится скачивать приложение на ваше устройство, после чего перенаправлять на его apk при помощи стандартного Intent Intent.ACTION_VIEW для установки. Однако, выигранный иск в ФАС может теперь многое изменить…
.
.
А вопрос в целом хороший. Может кто знает, существуют ли альтернативные сторы которые умеют обновлять приложения без переустановок (в частности без действий пользователя)? Хотя бы на девайсах с рутом.
Существуют. Тот же яндексовый. У меня даже публикация есть на эту тему на хабре. Проблема в том, что вы задаете этот вопрос — это показывает, насколько эти сторы популярны…
Добавил хронику взлома.
Хотя радует, что есть ребята вроде Blizzard, которые понимают, насколько полезно дать игрокам возможность влиять на общий игровой мир и дорабатывать егоОчень плохое сравнение с Blizzard, компания которая годами плевала на мнение игроков по поводу баланса в World of Warcraft, закрывала все возможное моды для своих игр, судилась с обладателями пиратских серверов со старыми версиями патчей. С выходом нового патча в Heartstone ещё одно подтверждение того, что они не интересуются что волнует сообщество, факты и статистики, ничего. Даже переименование всего в Dota 2 только благодаря искам от Blizzard. Нет, эти ребята не понимают.
Из известных мне примеров — в wow есть аж Lua для кастомизации интерфейсов. И то что можно выкладывать на battle.net карты для StarCraft 2. И вроде что-то слышал про официальное использование пользовательских модов в wow. Хотя тут я не специалист, для меня Diablo закончилась на второй версии, как и Warcraft, а StarCraft на первой… Интересно, если кто-то расскажет развёрнуто.
По каждой игре близард можно найти иск в котором они судились с сообществом. Сообщество с радостью создавало неимоверное количество патчей для игр, багфиксы, аддоны, приводило статистику, аргументы, чтобы они модифицировали свои игры для общего блага. Blizzard при этом всё игнорировало или запрещало при этом сама ничего не собирается делать. К сожалению нет всех ссылок на проекты, которые сообщество пыталось продвинуть в продукты этой компании их было очень много, но безуспешно. Пара ссылок как пример:
Blizzard банит игроков Diablo III за использование Wine
Судебные хроники. Blizzard Entertainment
Blizzard закрывает классические фанатские сервера World Of Warcraft
Blizzard банит игроков Diablo III за использование Wine
Судебные хроники. Blizzard Entertainment
Blizzard закрывает классические фанатские сервера World Of Warcraft
Думаю, автор поста имел ввиду, что разработчики Blizzard дают достаточно много свободы для игроков в плане различных модификаций, чем разработчики тех же Pokemon Go.
Оставив случаи с ботами, пиратскими серверами и читами, которые, так скажем, явно не являются "честным" использованием игры, то у игроков есть возможность изменить довольно многое в игре.
Тот же, интерфейс, например, касательно которого, как я понял, и были в основном претензии к pokemon go.
Пример игры, разработчики которой слушают комьюнити — Parg of Exile. Было много случаев изменения баланса, допила полезных фич и прочего. Реддит — много примеров, разработчики, кстати, его мониторят и часто отвечают.
Справедливости ради стоит заметить, что игра не настолько популярна и является почти инди. Возможно это влияет.
Справедливости ради стоит заметить, что игра не настолько популярна и является почти инди. Возможно это влияет.
Вам повезло, что нинатик — это не метелица. Метелица разработчиков ботов ставит на счётчик. Ибо недополученная прибыль священна.
Вообще niantic начав активную борьбу с ботами, тоже начали юридически давить на разработчиков ботов и добиваться реального закрытия репозиториев на github.
https://www.reddit.com/r/pokemongobotting/comments/4vf5g9/necrobot_is_dead_what_happened/
А вот ребята из Bossland GMBH которые разрабатывают самых популярных ботов для WoW и Diablo 3 и имеют многолетний опыт судебных тяжб с Blizzard своего бота для pokemon go удержали на плаву http://blog.bossland-gmbh.com/2016/blizzard-devastated-clutching-at-any-straw
https://www.reddit.com/r/pokemongobotting/comments/4vf5g9/necrobot_is_dead_what_happened/
А вот ребята из Bossland GMBH которые разрабатывают самых популярных ботов для WoW и Diablo 3 и имеют многолетний опыт судебных тяжб с Blizzard своего бота для pokemon go удержали на плаву http://blog.bossland-gmbh.com/2016/blizzard-devastated-clutching-at-any-straw
> В результате большинство авторов удалили свой код (надо сказать, не полностью, а просто затёрли его последним коммитом) с примерно таким сообщением
Но делаем HEAD-1 и вот он, код… Из более удобных вариантов — в мастере оставляем заглушку, а новый код выкладываем в бранче. Не так понятно, но соблюдается формальность.
А вообще, нужен аналог GitHub но как минимум с проверкой каждого из обращений и смелостью судиться, а как максимум не в США, чтобы можно было забивать на DMCA. Вроде такие страны и в Европе есть.
Но делаем HEAD-1 и вот он, код… Из более удобных вариантов — в мастере оставляем заглушку, а новый код выкладываем в бранче. Не так понятно, но соблюдается формальность.
А вообще, нужен аналог GitHub но как минимум с проверкой каждого из обращений и смелостью судиться, а как максимум не в США, чтобы можно было забивать на DMCA. Вроде такие страны и в Европе есть.
Хотя радует, что есть ребята вроде Blizzard, которые понимают, насколько полезно дать игрокам возможность влиять на общий игровой мир и дорабатывать его.
Это вы называете пониманием?
Честно говоря, все 4 истории, предложенные в «Ещё?», кажутся мне весьма интересными! Буду рад, если автор найдёт силы на несколько новых статей! :)
Было бы очень интересно услышать подробности на тему «Полная история взлома новой версии API покемонов сообществом реддита. Она увлекательна и поучительна!». Т.к. сам был в их Discord и наблюдал, как они старательно разбираются и решают эту проблему, но многого не понял.
Вы можете приобрести огромное количество помощников, если выложите своё приложение в open source. Вы боитесь? Ну что же, тогда продолжайте тешить себя иллюзией защиты. И ваши потенциальные помощники окажутся по другую сторону баррикад.
Как быть инди разработчикам? Если весь доход приложения на рекламе, зачем выставлять его код на обозрение?
2. Почему Apache HttpComponents стали deprecated, где лгут разработчики Google, и почему вам стоит продолжать использовать HttpComponents (и как это делать).
3. Текущая реализация SSL в браузерах вводит в заблуждение пользователя, давая иллюзию безопасности.
Оба интересны, хотя про третий я догадываюсь, но с удовольствием прочитаю
Статья интересная, и хочется к ней дополнений в таком же порядке.
1. Полная история взлома новой версии API покемонов сообществом реддита. Она увлекательна и поучительна!
4. Почему вам не стоит прямо сейчас бежать разрабатывать своё приложение с дополненной реальностью, памятниками и Петром Первым.
Я вот несколько не понял из контекста статьи. Боты всего лишь упрощают поиски покемонов при реальном передвижении по городу? А что мешает подсовывать фейковые данные геолокации и «ходить» по городу, оставаясь на рабочем месте?
Ничего не мешает. Но во-первых, многие любят искать покемонов ногами, а во-вторых сложно поймать редких покемонов, просто слоняясь по городу, даже если ботом.
Так и делают. Есть приложение джойстик, которое подсовывает фейковые GPS данные. Ты сидишь на месте, тыкаешь в джойстик и персонаж ходит по какому-то городу на другом континенте.
4. Начинать разработку приложений дополненной, виртуальной и смешанной реальностей нужно было вчера.
А то можно не успеть на поезд.
А то можно не успеть на поезд.
С Impersonation, на самом деле, все просто. Как правило, достаточно заменить "%brandname% %что-то там%" на "%что-то там% для %brandname%". Могут еще попросить удалить спорные скриншоты (если на них используется контент, принадлежащий третьим лицам).
У нас уже удаляли приложение по одной популярной игре (база знаний, новости и т.д.), после недолгой переписки и вышеописанных изменений в сторе восстановили. НО, по-видимому, наложили некий «АГС-фильтр», потому что приложение очень резко просело в позициях (было топ 1-10 по тематическим запросам, стало 30+). Постепенно, похоже, фильтр сняли, сейчас позиции восстанавливаются.
Что интересно, Apple такой ерундой не страдает. В App Store заставили переименоваться вышеуказанным способом, но до скринов докапываться не стали.
У нас уже удаляли приложение по одной популярной игре (база знаний, новости и т.д.), после недолгой переписки и вышеописанных изменений в сторе восстановили. НО, по-видимому, наложили некий «АГС-фильтр», потому что приложение очень резко просело в позициях (было топ 1-10 по тематическим запросам, стало 30+). Постепенно, похоже, фильтр сняли, сейчас позиции восстанавливаются.
Что интересно, Apple такой ерундой не страдает. В App Store заставили переименоваться вышеуказанным способом, но до скринов докапываться не стали.
У меня с Impersonation был крайне негативный опыт с приложением для обхода блокировки рутрекера. Когда я исправил даже то, что уже нельзя было исправить, мне просто сказали, что моё приложение ничего не делает… Ну и даже если оставить в сторону этот случай, второй с GoIV уже ни в какие ворота не лезет. Так что банили всех подряд под любой подходящей причиной.
Не совсем понятно, по какой причине Niantic решил полностью убрать эту фичу вместо того, чтобы перенести рассчёт на сторону сервера…
Не совсем корректно: они не убирали радар полностью, они частично отключили функционал, т.к. собираются полностью его переработать, причем частично новый функционал уже тестируется на пользователях в Сан-Франциско, и если все пойдет хорошо, его введут повсеместно. Если коротко: новый радар будет работать как многочисленные поисковые карты с гитхаба, показывая, где именно поблизости покемон, и выстраивая до него маршрут. Возможно, они поняли, что не могут перенести расчет местонахождения с клиента на сервер, поэтому решили выкрутиться таким изящным образом, встроя карты непосредственно в приложение и лишив таким образом использование сторонних карт всякого смысла.
Они полностью убрали «лапки» — так что всё корректно. А тестовый вариант нового радара никоим образом не лишает смысла использование сторонних карт так как с ним ты по прежнему охватываешь слишком малый радиус и не можешь заниматься целенаправленным поиском редких покемонов.
не можешь заниматься целенаправленным поиском редких покемонов
А потом перемещаться туда с помощью фейк-gps и ловить, сидя дома в кресле? Я не считаю это правильным и честным по отношению к другим игрокам.
Да нет, я вот с работы ногами бегал, когда радар в радиусе километра что-то интересное засекал… Хотя когда радар перестал работать, оказалось, что без него играть веселее — и я не стал его ставить вновь, когда его починили.
Но речь не об этом, а о том, что что новый радар Niantec никак не лишает смысла использование сторонних карт.
Но речь не об этом, а о том, что что новый радар Niantec никак не лишает смысла использование сторонних карт.
я думаю тут как и с ингресом, можно конечно ходить и тупо линковать порталы или по памяти, но намного удобнее открыть карту города и посмотреть, что где куда. Опять так позволяет создавать такую вещь как филдарты, когда игроки катаются по 300км чтоб нарисовать на такой карте что нибудь красивое :)
Sign up to leave a comment.
Будущее безопасности мобильных приложений, или чему нас могут научить покемоны