Что у тебя все безопасно

и ты это н епотеряешь

Аудит пройти

итд

Соотв если завтра твое приложение скачают 100к юзеров

кто-нидь стукнет

Нигде на 100% не безопасно, и 100% гарантии что не потеряешь никто дать не может

и ты сядешь

@rbyakov у тебя с включеным Proguard'ом аппметрика?

да

Нигде на 100% не безопасно, и 100% гарантии что не потеряешь никто дать не может

Это в суде расскажешь если он будет ?

Обычно на такое время даже не тратят ))

Нигде на 100% не безопасно, и 100% гарантии что не потеряешь никто дать не может

https://t.me/androiddevpodcast тут есть разработчики с СБ и Касперского, лучше спросить у них что и как

Это в суде расскажешь если он будет ?

Все же думаю ты перегибаешь. Ну допустим скрин с картой я заменю, но по твоим словам опять таки все записные книжки и заметки под это попадают

Понимаешь, есть определенные вещи которые регулируются законами разных стран

Ты можешь думать что угодно, но когда прищучат уже будет поздно

https://t.me/androiddevpodcast тут есть разработчики с СБ и Касперского, лучше спросить у них что и как

Да знаю, там толко по подкасту чат

Да знаю, там толко по подкасту чат

не, иногда и пофлудить можно

Просто хранить пароли - это законно, хранить кредитки - нет

не, иногда и пофлудить можно

Попробую спросить про юридические моменты

они обязаны знать точно

Просто хранить пароли - это законно, хранить кредитки - нет

но я не могу контролировать хранит ктото кредитку у меня в приложении или нет

но я не могу контролировать хранит ктото кредитку у меня в приложении или нет

удали юай для кредитки

Я ж говорю, это судье объяснишь

Скажешь мол вот у меня есть такая возможность, но я не говорю хранить

Только люди начали хранить

удали юай для кредитки

это, да сегодня удалю на всякий

Только люди начали хранить

даже в черновиках смсок можно.. и что теперь, я приду и у тебя на двери напишу cvv своей карты и в суд на тебя подам?

у нас в универе говорили, что если хочешь сесть в тюрьму, храни банковские данные у себя в приложении ) это немногое что я запомнил с универа

@rbyakov а файлы деобфускации загружены в гугл плей?

@rbyakov а файлы деобфускации загружены в гугл плей?

apk и все

у нас в универе говорили, что если хочешь сесть в тюрьму, храни банковские данные у себя в приложении ) это немногое что я запомнил с универа

Ну тогда и из описания приложения тоже убрать нужно про банки...

спроси точно у спецов

apk и все

возможно у тебя shrink resources

даже в черновиках смсок можно.. и что теперь, я приду и у тебя на двери напишу cvv своей карты и в суд на тебя подам?

не, там просто текстовое поле, там же не сказано пиши здесь свой cvc

спроси точно у спецов

да это точно, я делал один проект пару лет назад и там всплыла эта тема, в итоге данные должны быть вообще в отдельном месте после аудита на замочке и если ты их потеряешь тебя карают

а просто хранить это ЛОКАЛЬНО на андроиде за это ваще разорвут

Попробую спросить про юридические моменты

1) вы не можете хранить личные данные. не пробуйте их собирать. 2) вы не можете хранить данные крединых карт. в первую очередь потому, что ваше приложение взломают добрые люди, а посадят - вас. 3) сбор денег из приложения в обход Гугль Маркета возможен только для продажи реальных вещей. вы уверены, что у вас такое приложение?

не, там просто текстовое поле, там же не сказано пиши здесь свой cvc

У меня ты сам название всех полей пишешь,

а просто хранить это ЛОКАЛЬНО на андроиде за это ваще разорвут

да и на иос неочень безопасно локально хранить

да в любом месте

У меня ты сам название всех полей пишешь,

Я такое и в простом сообщении могу, толку тогда от приложения?

их недолжно быть локально вообще никогда не копий ничего

Я такое и в простом сообщении могу, толку тогда от приложения?

Ну там не совсем так все, поставь и посмотри если хочеш

1) вы не можете хранить личные данные. не пробуйте их собирать. 2) вы не можете хранить данные крединых карт. в первую очередь потому, что ваше приложение взломают добрые люди, а посадят - вас. 3) сбор денег из приложения в обход Гугль Маркета возможен только для продажи реальных вещей. вы уверены, что у вас такое приложение?

1е и 2е сбор персональных это наверное немного другое, я их никуда не собираю, ничего не требую вводить. Это оффлайн менеджер паролей. 3е у меня нет никаких покупок в приложении (и рекламы тоже)

Сбор это значит передача 3м лицам

Ты 3е лицо

как разработчик приложение

приложение - твоя собственность

1е и 2е сбор персональных это наверное немного другое, я их никуда не собираю, ничего не требую вводить. Это оффлайн менеджер паролей. 3е у меня нет никаких покупок в приложении (и рекламы тоже)

второе это не сбор персональных данных, это ситуация "ваше приложение взломали у пользователя украли деньги". пользователь пишет заявление на вас, и все.

второе это не сбор персональных данных, это ситуация "ваше приложение взломали у пользователя украли деньги". пользователь пишет заявление на вас, и все.

Ну опять, скажите мне в чем отличие обычных заметок (в данном контексте), от моего менеджера паролей. Если я храню в заметках пароли и данные карт и меня взломали я могу идти в суд подавать? Ведь "Ваше приложение хранило..."?

угу

а ответственность несешь ты, причем тут двойную, ты же не лицензирован для того что бы хранить эти данные

а во вторых ты еще их и потерял

два срока сразу :)

Ну опять, скажите мне в чем отличие обычных заметок (в данном контексте), от моего менеджера паролей. Если я храню в заметках пароли и данные карт и меня взломали я могу идти в суд подавать? Ведь "Ваше приложение хранило..."?

тут вопрос спорный на самом деле, но есть нюанс - если ваше приложение позиционирует себя как "надежное хранилище паролей" то за секьрность как бы отвечаете вы. заметки себя так не позиционируют. и логика будет: раз из надежного хранилища пропали данные - может их разработчик украл?

Сделай опенсорсным, лол

тут вопрос спорный на самом деле, но есть нюанс - если ваше приложение позиционирует себя как "надежное хранилище паролей" то за секьрность как бы отвечаете вы. заметки себя так не позиционируют. и логика будет: раз из надежного хранилища пропали данные - может их разработчик украл?

Не "может", а "точно", код закрыт, а значит там комфортная доставка в безопасное хранилище к разработчику.

"Если вы хотите хранить полные данные карт (без cvc, cvv - это хранить никто не разрешит, даже с сертификатом) вам нужно иметь сертификат PCI DSS. "

тут вопрос спорный на самом деле, но есть нюанс - если ваше приложение позиционирует себя как "надежное хранилище паролей" то за секьрность как бы отвечаете вы. заметки себя так не позиционируют. и логика будет: раз из надежного хранилища пропали данные - может их разработчик украл?

Ну надежность это понятие размытое. Я не даю 100% гарантий надежности. Может он украл, а может и нет, мне кажется в первую очередь будет отвечать тот кто действительно их украл... Как будто с банковских карт и счетов деньги не воруют.

Не "может", а "точно", код закрыт, а значит там комфортная доставка в безопасное хранилище к разработчику.

Ну логика железная: я так думаю - значит я прав.....

Ну надежность это понятие размытое. Я не даю 100% гарантий надежности. Может он украл, а может и нет, мне кажется в первую очередь будет отвечать тот кто действительно их украл... Как будто с банковских карт и счетов деньги не воруют.

в общем дело хозяйское, конечно. может и пронесет ))) опять же - может и не скачают и пользовать не будут...

@tridetch ну чего ты демагогию разводишь, убери про карты вначале в приложении своем и в интерфейсе и в скриншоте и в упоминании и тебя уже не посадят скорее всего

хочешь хранить данные - читай про PCI DSS

потом проходи аудит и плати за него

он не бесплатный

ERROR: S client not available

Ну логика железная: я так думаю - значит я прав.....

Какие данные, такая и логика. Если это данные ценные, то доверять "мой закрытый код честно ничего не украдёт ни в одном из обновлений" глупо.

@tridetch и вторая проблема - то что этим приложением нормальные люди пользоваться незахотят, ты не гугл что бы хранить у тебя пароли

Я делал приложение, где в качестве приватного ключа юзался пинкод пользователя, закешированный с уникальной солью

Там невозможно получить доступ к этим данным без пина :)

Нет ничего невозможного

Я делал приложение, где в качестве приватного ключа юзался пинкод пользователя, закешированный с уникальной солью

После этого пин изменять можно?

После этого пин изменять можно?

Да, если ты помнишь старый пин

А так никак :)

Я делал приложение, где в качестве приватного ключа юзался пинкод пользователя, закешированный с уникальной солью

а соль где хранил и как ее уникальности добивался?

а соль где хранил и как ее уникальности добивался?

В приватных данных приложения

Прост чтоб пины на разных устройствах отличались

В приватных данных приложения

в приватных данных это где?

Наличие соли у хацкера ничего не даёт особо :)

Народ, может кто посоветовать пример приложения в котором реализован функционал NFC передачи данных в обе стороны?

в приватных данных это где?

Ну просто в sharedpreference, mode private

Хм.)

С рутом легко можно получить доступ в эту папку

Но там будут страшные циферки

https://medium.com/@enriquelopezmanas/a-follow-up-on-how-to-store-tokens-securely-in-android-e84ac5f15f17

https://medium.com/@enriquelopezmanas/a-follow-up-on-how-to-store-tokens-securely-in-android-e84ac5f15f17

Это все секретно ровно до наличия рута у пользователя

Потом ничего не работает

https://medium.com/@enriquelopezmanas/a-follow-up-on-how-to-store-tokens-securely-in-android-e84ac5f15f17

вроде в том же андроид дев подкасте обсуждали что кто захочет получить токен возьмет его

нету никакой защиты от этого

ну, да

А рут до 7.0 получается легко

Absolute security does not exist

С помощью уязвимости блек шип

Да в общем-то никто не мешает с тем же flow использовать viper

Это все секретно ровно до наличия рута у пользователя

ну рут не очень причем. на самом деле на устройстве и сервере реализуется один алгоритм и сохраняется только часть от этого алгоритма (грубо говоря есть строка, хардкод которую любой может вытащить при желании, есть рандомное число которое генерируется в момент запроса и есть нативный код который по сложному алгоритму получает токен) север изначально знает константу изначально знает алгоритм и получает при запросе рандомное число (или отправляет его на устройство не важно). задача взлома сводимтся к декомпиляции алгоритма из с-шного кода и обычно овчинка не стоит выделки. Если там не кредитка, конечно ))))

Ну это не сложно

Константу достать

Или понять примерно алгоритм