У меня тут небольшой обзор первого дня PHDays есть, если кому интересно как проходят конференции по иб — велком
Завтра Алексей Набережный @inwady будет выступать на DroidHeads с очень важной темой про fuzzing-тестирование. Приходите, будет интересно :)
vk.company
VK / DroidHeads Meetup
8 июня в офисе Mail.ru Group пройдет мобильный митап совместно с сообществами разработчиков MosDroid и Cocoaheads.
Меня тут позвали вести twitter-аккаунт Mobileunderhood. Это коллективный твиттер-аккаунт для мобильных разработчиков с новым автором каждую неделю, подробнее вот тут.
Скажу честно, в твиттер я не очень, потому приветствуются пинки разного калибра, а желательно просто ваша активность :)
Вообще, смысл этого мероприятия довольно прост: я в течение недели на этом общем аккаунте раскрываю какие-то интересные темы. Но так как вы, зайки, у меня умные, и читаете @paradisecurity, то, скорее всего, вы будете самыми прошаренными в темах, о которых я там буду рассказывать, потому не стесняйтесь дополнять меня и лайкать.
А вообще, я подумала не терять время зря и попытаться впихнуть весь полезный код, который бы помог сделать каждому разработчику свое приложение чуть безопаснее в одну либу и оставить ее для всех в открытом доступе. Никаких сверхъестественных решений я предлагать не собираюсь, все это скорее всего можно найти в свободном доступе или просто сделать выводы прошерстив любой чек-лист по безопасности мобильных приложений. Я просто решила собрать все это в кучу.
Что в этой либе будет
Возможно вы помните еще давнооо я публиковала список того, на что стоит обратить внимание при разработке безопасносного мобильного приложения. В общем-то именно это (ну или отчасти) я и буду освещать на этой неделе. Так что отталкиваясь от такого плана, предлагаю придумать этой либе название. Я за SecurityLib. Чтобы сделать свои предложения — вперед под этот твитт.
Комментарии, пулы и полезные предложения — приветствуются, как в твиттере, так и на гите. На канале я никогда не создавала треды с возможностью комментировать, так вот, теперь у вас есть уникальная возможность высказаться под постами твиттер-аккаунта, который на неделю стал моим.
P.S. Только чур не шалить :)
Скажу честно, в твиттер я не очень, потому приветствуются пинки разного калибра, а желательно просто ваша активность :)
Вообще, смысл этого мероприятия довольно прост: я в течение недели на этом общем аккаунте раскрываю какие-то интересные темы. Но так как вы, зайки, у меня умные, и читаете @paradisecurity, то, скорее всего, вы будете самыми прошаренными в темах, о которых я там буду рассказывать, потому не стесняйтесь дополнять меня и лайкать.
А вообще, я подумала не терять время зря и попытаться впихнуть весь полезный код, который бы помог сделать каждому разработчику свое приложение чуть безопаснее в одну либу и оставить ее для всех в открытом доступе. Никаких сверхъестественных решений я предлагать не собираюсь, все это скорее всего можно найти в свободном доступе или просто сделать выводы прошерстив любой чек-лист по безопасности мобильных приложений. Я просто решила собрать все это в кучу.
Что в этой либе будет
Возможно вы помните еще давнооо я публиковала список того, на что стоит обратить внимание при разработке безопасносного мобильного приложения. В общем-то именно это (ну или отчасти) я и буду освещать на этой неделе. Так что отталкиваясь от такого плана, предлагаю придумать этой либе название. Я за SecurityLib. Чтобы сделать свои предложения — вперед под этот твитт.
Комментарии, пулы и полезные предложения — приветствуются, как в твиттере, так и на гите. На канале я никогда не создавала треды с возможностью комментировать, так вот, теперь у вас есть уникальная возможность высказаться под постами твиттер-аккаунта, который на неделю стал моим.
P.S. Только чур не шалить :)
Что можно сделать плохого с приложением
1. Тамперинг (незначительно изменение приложения для подмены ключевых функций, фишинга или слива данных)
2. Ресерч кода. Пользователь получает деньги за клики или checkin, если нет защиты от деобфускации то можно вытащить API, вытащить тестовые сборки (если build.test)
3. Недостатки в приложении. Разработчики могут допускать ошибки, которые могут приводить к серьезным атакам в виде IPC. Внутренние данные из приложения можно отправить на сервер.
1. Тамперинг (незначительно изменение приложения для подмены ключевых функций, фишинга или слива данных)
2. Ресерч кода. Пользователь получает деньги за клики или checkin, если нет защиты от деобфускации то можно вытащить API, вытащить тестовые сборки (если build.test)
3. Недостатки в приложении. Разработчики могут допускать ошибки, которые могут приводить к серьезным атакам в виде IPC. Внутренние данные из приложения можно отправить на сервер.
Типичные ошибки при разработке приложений
1. Неверное использование KeyStore
2. Неправильная реализация NFC
3. Логирование
4. Пин код на стороне клиента
5. Неправильная настройка proGuard
6. Неправильная реализация авторизации
7. Обход смс аутентификации
8. Неправильная настройка пушей
9. Обход окна пина
10. Не очищаются данные приложения
11. Корпоративные ключи в приложении
1. Неверное использование KeyStore
2. Неправильная реализация NFC
3. Логирование
4. Пин код на стороне клиента
5. Неправильная настройка proGuard
6. Неправильная реализация авторизации
7. Обход смс аутентификации
8. Неправильная настройка пушей
9. Обход окна пина
10. Не очищаются данные приложения
11. Корпоративные ключи в приложении
Какой инструмент для запутывания кода вы используете в своем проекте?
Вчера обсуждали с коллегами, что программирование похоже на создание стихов, или картин, да чего угодно, что так что так искусство.
А относитесь ли вы к программированию как к искусству? Или занимаетесь этим чисто ради заработка?
А относитесь ли вы к программированию как к искусству? Или занимаетесь этим чисто ради заработка?
Я тут флешмоб запустила. Мы любим похаять приложения и их разработчиков, а вот с похвалой у нас туго. Так давайте попробуем вспомнить приложения, которые вам заходят больше всего. Переходим под твитт, предлагаем свое приложение и ретвиттим дальше :)
Twitter
Мобильный разработчик
Как и обещала, флешмоб! Вы не поверите, но мне прям очень нравится приложение Альфа-Банка. Как сервис этот банк не очень, но приложение очень красивое... С вас ваше приложение и ретвит! :)
Весь код, который я выкладывала пока вела свою неделю на Mobileunderhood выложен сюда. Я буду скорее всего его дополнять, если у вас есть предложения - то тоже вперед :)
Свой твиттер скорее всего вести я тоже буду, но пока решаю в каком виде. Думаю, посты будут на инглише, чтобы расширить аудиторию.
Свой твиттер скорее всего вести я тоже буду, но пока решаю в каком виде. Думаю, посты будут на инглише, чтобы расширить аудиторию.
От разработчиков Альфа-Банка клёвые доклады. Следите за трансляцией
Forwarded from Russian Business (Anna Polyakova)
В интернет попала персональная информация примерно 900 тысяч клиентов «Альфа-банка», «ОТП-банка» и «ХКФ-банка».
Часть записей в том числе содержит паспортные данные и остаток на счете.
Часть записей в том числе содержит паспортные данные и остаток на счете.
Rusbase
«Коммерсантъ» узнал об утечке личных данных 900 тысяч россиян
Этими сведениями могут воспользоваться мошенники
Мобильная разработка стала в последнее время очень востребована. Каждая компания сейчас хочет иметь собственное приложение, и тому есть несколько весьма понятных причин:
• это повышает имидж компании
• позволяет легко информировать пользователя о различных акциях
• выделяет на фоне конкурентов
• позволяет всегда оставаться с клиентом на связи
• существенно повышает продажи
Однако, несмотря на это, на рынке мобильных разработчиков все равно наблюдается существенный дефицит кадров. Но, должна заметить, что в последнее время очень часто вижу много курсов, которые звучат примерно так: “Стать Android-разработчиком за месяц”, “iOS разработка для самых глупеньких”, “Полгода и ты зарабатывает 100500 тысяч баксов на приложениях”. Вроде все это должно было повысить количество мобильных разработчиков, однако дефицит все равно наблюдается. По крайней мере мои знакомые hr жалуются на это. Зачастую, компании сами вынуждены проводить курсы для того чтобы заполучить себе новые кадры.
Кроме недостатка кадров наблюдается еще и низкий уровень самих мобильных разработчиков. Это связано с тем, что компании чаще всего нанимают одного Android-разработчика и одного iOS-разработчика, в самых печальных ситуациях это может быть вообще один и тот же человек. В таком случае разработчику сложно объективно оценивать свои знания, он постоянно варится в своем же коде. В худшем случае его еще и никто не ревьюит.
К тому же, много тех, кто боится начать изучать мобильную разработку, не знает с чего начать и не уверен в своих силах, а также тех, кто застрял на каком-то уровне и не знает куда двигаться дальше.
Где-то недели две назад я решила освежить свои знания, и мне пришла идея последовательно описать маршрут становления Android-разработчика.
• это повышает имидж компании
• позволяет легко информировать пользователя о различных акциях
• выделяет на фоне конкурентов
• позволяет всегда оставаться с клиентом на связи
• существенно повышает продажи
Однако, несмотря на это, на рынке мобильных разработчиков все равно наблюдается существенный дефицит кадров. Но, должна заметить, что в последнее время очень часто вижу много курсов, которые звучат примерно так: “Стать Android-разработчиком за месяц”, “iOS разработка для самых глупеньких”, “Полгода и ты зарабатывает 100500 тысяч баксов на приложениях”. Вроде все это должно было повысить количество мобильных разработчиков, однако дефицит все равно наблюдается. По крайней мере мои знакомые hr жалуются на это. Зачастую, компании сами вынуждены проводить курсы для того чтобы заполучить себе новые кадры.
Кроме недостатка кадров наблюдается еще и низкий уровень самих мобильных разработчиков. Это связано с тем, что компании чаще всего нанимают одного Android-разработчика и одного iOS-разработчика, в самых печальных ситуациях это может быть вообще один и тот же человек. В таком случае разработчику сложно объективно оценивать свои знания, он постоянно варится в своем же коде. В худшем случае его еще и никто не ревьюит.
К тому же, много тех, кто боится начать изучать мобильную разработку, не знает с чего начать и не уверен в своих силах, а также тех, кто застрял на каком-то уровне и не знает куда двигаться дальше.
Где-то недели две назад я решила освежить свои знания, и мне пришла идея последовательно описать маршрут становления Android-разработчика.
Основы Java
• Методы класса Java Object
• HashMap, хэш-конфликты, параллельное программирование, потокобезопасное программирование и принципы реализации
• Разница между HashMap и HashTable
• Функция метода hashСode() и как его перегружать
• Разница между ArrayList и LinkedList
• Garbage Collection
• Reflection API Java (отражения)
• Динамические прокси
• Дженерики
• Синхронизация потоков
• SOLID
• Значения и отличия блокировки метода, объекта и класса
• Методы синхронизации потоков: synchronized, lock, reentrantLock
• Типы блокировок в Java: biаsed, thin и fat.
• Принцип ThreadLocal и ThreadPool и их применение
• Разница между wait() и sleep()
• Методы класса Java Object
• HashMap, хэш-конфликты, параллельное программирование, потокобезопасное программирование и принципы реализации
• Разница между HashMap и HashTable
• Функция метода hashСode() и как его перегружать
• Разница между ArrayList и LinkedList
• Garbage Collection
• Reflection API Java (отражения)
• Динамические прокси
• Дженерики
• Синхронизация потоков
• SOLID
• Значения и отличия блокировки метода, объекта и класса
• Методы синхронизации потоков: synchronized, lock, reentrantLock
• Типы блокировок в Java: biаsed, thin и fat.
• Принцип ThreadLocal и ThreadPool и их применение
• Разница между wait() и sleep()
Java уровнем выше
• Виртуальная машина Java, среда выполнения, механизм Java GC
• Полный жизненный цикл объекта в Java
• Модель памяти JVM
• Межпроцессное взаимодействие
• Загрузка классов в Java JVM
• Ссылочный тип Java
• Шаблоны проектирования
• Протокол HTTP и протокол HTTPS
• Классы Socket и ServerSocket в Java
• Протоколы TCP и UDP
• Конкретная реализация GET и POST в протоколе HTTP
• Сериализаия и десериализация
• Принцип реализации пула потоков
• Основы баз данных
Структуры данных и алгоритмы
Структуры данных
• Стек и очередь
• Массив и связанный список, настраиваемый динамический массив
• Хеш-таблица и хеш-конфликты
• Бинарное дерево
• Б, Б+ и Б++ деревья
• Базовые алгоритмы сортировки: быстрая сортировка, сортировка слиянием, сортировка кучей
• Бинарный поиск
• Алгоритм Хаффмана, красное-черное дерево
• Работа со строками, поиск строк, алгоритм KMP
• Графы BFS, DFS, алгоритм Дейкстры
• Обработка больших данных
Алгоритмы
• Алгоритм деления
• Алгоритмы планирования
• Жадный алгоритм
• Детекторы и дескрипторы
• Задача сопоставления
• Виртуальная машина Java, среда выполнения, механизм Java GC
• Полный жизненный цикл объекта в Java
• Модель памяти JVM
• Межпроцессное взаимодействие
• Загрузка классов в Java JVM
• Ссылочный тип Java
• Шаблоны проектирования
• Протокол HTTP и протокол HTTPS
• Классы Socket и ServerSocket в Java
• Протоколы TCP и UDP
• Конкретная реализация GET и POST в протоколе HTTP
• Сериализаия и десериализация
• Принцип реализации пула потоков
• Основы баз данных
Структуры данных и алгоритмы
Структуры данных
• Стек и очередь
• Массив и связанный список, настраиваемый динамический массив
• Хеш-таблица и хеш-конфликты
• Бинарное дерево
• Б, Б+ и Б++ деревья
• Базовые алгоритмы сортировки: быстрая сортировка, сортировка слиянием, сортировка кучей
• Бинарный поиск
• Алгоритм Хаффмана, красное-черное дерево
• Работа со строками, поиск строк, алгоритм KMP
• Графы BFS, DFS, алгоритм Дейкстры
• Обработка больших данных
Алгоритмы
• Алгоритм деления
• Алгоритмы планирования
• Жадный алгоритм
• Детекторы и дескрипторы
• Задача сопоставления