AB.Digital

Что вы знаете про безопасность мобильного приложения?

Команда AB.Digital всегда стремится к созданию чего-то уникального и очень безопасного.

Давайте поговорим сегодня про тип атаки MiTM или “человек-по-середине”, да да да, мы вам ничего нового не расскажем, но зато объясним, как избавиться от рисков.

SSL pinning – привязка сертификата или публичного ключа сервера к клиенту. В случае с мобильным приложением одним из эффективных способов является внедрение в приложение SSL сертификата, которому мы собираемся доверять. После этого с вашего мобильного приложения невозможно перехватить ни байт трафика и соответственно злоумышленник не сможет изменять/подменять запросы и ответы из мобильного приложения в наш любимый бэкенд.

К сожалению, многие разработчики популярных приложений не следуют этому правилу или хуже того, делают это неправильно что может привести к печальным последствиям.

На картинке ниже, трафик одного всеми любимого платежного приложения и попытка перехватить трафик с этого приложения.

Все отлично, разработчики данного мобильного приложения позаботились о шифровании трафика и, наверное, спят спокойно (на картинке нет ни одного HTTPS запроса и приложение все время закрывается). Но, к сожалению, они сделали SSL pinning некорректно, что позволяет сделать вот так:

Теперь мы видим все, что передается из мобильного приложения на серверную часть, а дальше мы не будем рассказывать, что с этим всем можно сделать.

Это еще раз подчеркивает важность применения SSL Pinning и самое главное, его корректной интерпретации.

Ищем в компанию AB.Digital Мидл-PHP-разработчика.

$100 тому от кого он придет (после испытательно срока)

**Требования**:
* От 3 лет работы в PHP
* Laravel
* MySQL
* Rest API

**Условия**:
* Удаленная работа + иногда офис (просторный офис рядом с метро, комфортное рабочее место, Sony Playstation, корпоративы, дружный коллектив)
* Крупные местные заказчики + заказчики из США
* Официальное белое трудоустройство
* Отпуск по ТК РУз
* Адекватная и правильная команда (20 человек) и рабочие процессы (Dev, PM, QA, Design)
* Зарплата в районе 10 млн (обсуждаемо, зависит от опыта). Белая зарплата (налог оплатим мы).
* Интересные проекты: бэкенд/API мобильных приложений, интеграции (1C/SAP/Внешние API и пр.), нагрузка, трафик.

**Контакты: **

Не нужны резюме. Пишите в ТГ, пообщаемся https://t.me/isaid

http://abdigital.uz

БОльшая часть нашей мега-команды, которая создает веб-сайты и мобильные приложения, проектирует интерфейсы, разрабатывает системы, тестирует, рисует, планирует, анализирует и, в конечном счете, создает проекты, которыми пользуются пользователи по всему миру.