Hasło otwartym tekstem, na moim prywatnym telefonie, w pliku do którego nie tak łatwo się dostać... i co? No własnie nic. Świat, ani nawet internet przez to się nie skończy.
Dla spokoju ducha użyszkodników-detektywów trzeba było je zaszyfrować ROT13 :D No przynajmniej nikt nie mógłby zarzucić, że jest otwartym tekstem :)
@damianpiwowarski: Jeśli ktoś rootuje telefon, a potem nie uważa co na niego wpuszcza to musi się liczyć z konsekwencjami. Rootowanie nie było wymyślone dla zwykłych userów, a dla power-userów. Niestety, z nie do końca znanych mi przyczyn, niektórzy uważają, że rootowanie jest cool i trendy. Jeśli się używa Androida tak jak wymyślił to producent, to problemu nie ma.
@de_diabel: No okej, ale pamiętaj, że Rootowanie to nadal garstka skryptów, które ktoś mądry chytrze może wykorzystać. Na dodatek istnieją "tymczasowe rooty" (do pobrania w markecie, choć nie wiem czy nadal istnieją), które można założyć w kilka minut, o ile nie sekund. Konsekwencje? Zobacz na bliźniaczą platformę, iOS, gdzie można było zjailbreakować iPhonea przez przeglądarkę.
Zresztą - rozpoznanie modelu, pobranie wszystkich plików i ich uruchomienie w odpowiedniej kolejności to nic
No może ja jestem jakiś inny, ale ja robie tak, że pytam usera do hasło przy pierwszym uruchomieniu, wysyłam do serwera i dostaje w odpowiedzi coś ala token i ten token zapisuje - a działa on jak drugie hasło, tylko z mniejszymi uprawieniami (zależnie od aplikacji, np. nie da się edytować danych konta etc) - no i da się nim zalogować tylko poprzez odpowiednie API. Hasła właściwego nigdzie nie ma, a na
@btr: w mojej opinii to co napisali (w większości) w linku który podałeś to bzdura... tak jak ktoś wcześniej już zauważył: drzwi można wyłamać a zamek przewiercić ale to jeszcze nie powód aby klucz do nich położyć na wycieraczce lub w ogóle nie zamykać drzwi... zabezpieczenia nieważne jak dobre nigdy nie są 100% więc w myśl tego co piszesz mamy z nich zrezygnować bo po co się męczyć skoro nie
No właśnie, co z tego że w txt na telefonie. Dajesz telefon byle komu? Czy nawet jeśli ktos dorwie telefon to pierwszą rzeczą będzie sabotowanie na wykopie? ;)
@arczer: jak dorwie telefon i bedzie chcial sabotowac na wykopie to najpewniej odpali aplikacje gdzie user zostanie automatycznie zalogowany (zdecydowana wiekszosc sie nie wylogowuje) i namiesza bez kombinowania z rootowaniem i haslem.
Histeryczna reakcja użytkownika po tragedii, która wydarzyła się w związku ze skandalicznym błędem, dzięki któremu hakerzy mogli przejąć konta bankowe użytkowników wykop.pl
Niebezpiecznik też się nie popisał, ja już pisałem, że nie widzę problemu, aby na androidzie aplikacja trzymała hasło tekstem, ale jak już się coś proponuje to niech robią to dokładnie.
Chodzi mi o fragment
2) zaszyfrowane symetrycznie (co oznacza, że aplikacja musi znać klucz/algorytm szyfrowania, aby w razie potrzeby odczytać sobie owo hasło na swoje potrzeby automatycznego logowania). Uwaga! W przeciwieństwie do przetrzymywania haseł po stronie serwera, tu, na kliencie, w grę
Komentarze (78)
najlepsze
Dla spokoju ducha użyszkodników-detektywów trzeba było je zaszyfrować ROT13 :D No przynajmniej nikt nie mógłby zarzucić, że jest otwartym tekstem :)
Zresztą - rozpoznanie modelu, pobranie wszystkich plików i ich uruchomienie w odpowiedniej kolejności to nic
No i to jest poprawne rozwiązanie tego problemu.
@btr: No proszę, a myślałem, że w czasach liceum byłem choć trochę oryginalny ;)
Jak ja się zdziwiłem, gdy odkryłem, że koleżanka, która podesłała mi plik config.dat (razem z jakimś plikiem .dll dla niepoznaki) miała hasło "ppp" ;)
A co Cię w niej irytuje?
@mdom: Już media zrobiły z ciebie panikarza. Nie pytaj co zrobi TVN;p
Chodzi mi o fragment
...
Tylko czy w tym momencie org. hasło miałoby jakieś
@neoandrew: A API Wykopu umożliwia taką autoryzację?