Или они не одновременно на экране?

Конечно не одновременно

Они переключаются

И только стандартный интерфейс фрагмента!)

proguard'ом хех

И только стандартный интерфейс фрагмента!)

Почему это?

Ну так кастование может подтянуть падение с ошибкой)

Так есть же instanceof

Так. А что если написать метод на C++ с шифрованием?

Его же не задекомпилить нормально

Ты же ищешь стандартный фрагмент. Ну вот я и говорю кастуешь)

@grishka как думаешь?

Ты же ищешь стандартный фрагмент. Ну вот я и говорю кастуешь)

Ну проверяешь перед кастованием, что это именно тот

Ну и если что то изменилось. Это он но уже метод убрали след разраб не знал что так надо) И ?

@grishka как думаешь?

о чём?

То что ты предлагаешь не совсем решение. Вернее не совсем верное

Интерфейс сделай

Ну и если что то изменилось. Это он но уже метод убрали след разраб не знал что так надо) И ?

А вообще компиляция не пройдет в таком случае, лол

о чём?

Как лучше генерить ключ алгоритмом, который нельзя при декомпиляции увидить?

Как лучше генерить ключ алгоритмом, который нельзя при декомпиляции увидить?

это технически невозможно

это технически невозможно

А как лучше поступить, чтобы это было максимально тяжело?

всё можно увидеть при декомпиляции, и JNI-библиотеки не панацея

Кому нужно декомплить ьвою программу, алё))

А как лучше поступить, чтобы это было максимально тяжело?

нет смысла даже пытаться

А вообще компиляция не пройдет в таком случае, лол

Такой подход у меня был 2+ года назад)

я вот помню, как в приложении ask.fm была сделана за-shit-а от реверс-инжиниринга

там короче ключ для апи получался через нативную библиотеку

Это нужно, чтобы АПИ защитить, чтобы его не юзали ВНЕ нашего приложения

хз как

Такой подход у меня был 2+ года назад)

Я бы onActivityResult заюзал, или там даггер

Со временем начинаешь переосмысливать

я создал проект, засунул туда эту библиотеку, вызвал метод, получил ключ

я создал проект, засунул туда эту библиотеку, вызвал метод, получил ключ

лул)

хз как

правильно что хз как, потому что никак

Пиздос, так трафик то посмотреть можно и реверсить не нужно)

Я бы onActivityResult заюзал, или там даггер

Я и польщую дагер для активити скоуп интерактора

правильно что хз как, потому что никак

Ну как вариант - менять ключ из версии в версию)) Так отрубится хотя бы часть

ну они могли бы проверять там подпись пакета, но ведь это твоё устройство, это не то, что нельзя обойти при помощи какого-нибудь xposed

Ну как вариант - менять ключ из версии в версию)) Так отрубится хотя бы часть

а пользователи со старыми версиями пусть страдают?

Ага, и люди, которые не обновились, будут ставить 1 звезду

а пользователи со старыми версиями пусть страдают?

А как инстаграм делает?

у инстаграма такое раз в год

что старая версия нерабочей становится

Они как-то там тоже хитро делают

А как инстаграм делает?

я его не декомпилил, это имеет смысл спросить у @avsievich

Погляди как гугл делает, там же у них проверка на чексумму и имя пакета

Где?

покаж

ну имя пакета это фигня, а вот чексумма мб мб

да любой проект где юзаишь их апи они выдают json под твою конкретную сборку, а на их серверной части указываешь типа ежели пакет другой то на апи не отвечать

sha1 вот ее неподделать

Дык читаешь в исходниках, как она считается, и считаешь сам

И айди пакета отправляешь, какой нужно

Погляди как гугл делает, там же у них проверка на чексумму и имя пакета

НЕ ПОМОЖЕТ

чего?

ну смотри, это твоё устройство, ты имеешь абсолютно полный доступ к нему

ты просто делаешь так, чтобы нужные методы возвращали нужные значения

это не фантазия, это реально возможно, например, с помощью xposed framework

бля, братишь, невозможно сбилдить и подписать пакеты схожей sha1

это типа имя ключа которым ты подписал

бля, братишь, невозможно сбилдить и подписать пакеты схожей sha1

какой ты умный, только вот откуда берётся этот sha1, как он попадает в приложение, м?

разве только ключ похитят

Так ты отправляй на сервак нужный хэш и всё

правильно, приложение вызывает метод в системе

а ты имеешь полный доступ к системе, ты просто возвращаешь из этого метода правильный ключ

и как бы всё, game over

Сука, sha1 это ключ которым ты подписываешь, невозможно сгенерировать похожий ключ

ERROR: S client not available

Сука, sha1 это ключ которым ты подписываешь, невозможно сгенерировать похожий ключ

ты читаешь что я пишу?

Сука, sha1 это ключ которым ты подписываешь, невозможно сгенерировать похожий ключ

Как сервак отличит, ты реальный хэш отправляешь или просто скопировал подходящий?

Битва

Как сервак отличит, ты реальный хэш отправляешь или просто скопировал подходящий?

вот именно что никак, я это и пытаюсь сказать

Как варик, залить беспалевный пакет локально, скажем android.google.gms и в него вшить защиту, а потом прогуардом

любой DRM сломан ещё до своего появления

если код можно выполнить, его можно отреверсить, это аксиома

я понимаю, что некоторым очень сложно понять эту концепцию, но всё же

И того на выходе пару сотен непонятных классов, главно имена типа password маскировать под стандартную либу гугла, ее реверсить не станут

И того на выходе пару сотен непонятных классов, главно имена типа password маскировать под стандартную либу гугла, ее реверсить не станут

ага, да, конечно, обязательно

Ты пробовал реверсить чужой код?

да

Это не так сложно, как ты думаешь

я вот выше писал, как я отреверсил апи аск.фм

ещё реверсил апи в одном приложении для знакомств

А способ с прописью ключа в gradle как переменной

я у авто.ру АПИ реверсил тож

всё у них херово там)

переменная будет в R классе

А способ с прописью ключа в gradle как переменной

И он будет лежать в BuildConfig.class

у аска тоже так себе

ну вот да, нет способа что-то спратать на рутованном устройстве

а у тех, кто реверс-инжинирит, такие устройства всегда есть

Да можно даже без него, просто с 4пда)

а у тех, кто реверс-инжинирит, такие устройства всегда есть

А если нет рута, то как можно?

А если нет рута, то как можно?

да элеменратно в папку приложения в /data/data

да элеменратно в папку приложения в /data/data

так а ты дебагеров типа Charles ключ не увидишь в отправке?

увижу

ну так нет, данные, которые глобальны для всех пользователей, спратать невозможно

типа того же секрета для апи

в данные приложения можно класть сессии всякие и прочее такое

А если так https://stackoverflow.com/questions/9293019/get-certificate-fingerprint-from-android-app