Безопасность в мобильных приложениях
Информационная безопасность это всегда гонка вооружений. Из чего следует одна простая мысль, что полная безопасность невозможна, особенно в случае с клиентскими приложениями, когда у злоумышленника есть физический доступ к устройству. Но тут как при убегании от медведя: необязательно бежать быстрее медведя, достаточно бежать быстрее соседа.
Главная идея заключается в том, чтобы сломать вас было дороже получения возможной выгоды. Нужно донести до потенциального хакера одну простую мысль, «ломать нас невыгодно, иди поищи счастья в другом месте». Поэтому одной из основных критических ошибок являются крики о том что ваша защита совершенна. На подобные заявления сразу сбегается куча высоко профессиональных хакеров, которые будут ломать вашу защиту просто для доказательства своей крутизны невзирая на любую возможную выгоду.
Одним из основных столпов хорошей защиты, является журналирование действий и мониторинг всех нестандартных событий. Тяжело выстраивать защиту, если вы даже не знаете что вас ломают и каков вектор угрозы. Тут многое специфично для ваших процессов, но в качестве примеров могу привести использование большого количества разных аккаунтов с одного устройства; попытки обратиться к API к которому у аккаунта не должно быть доступа; многочасовые сессии в случаях, когда среднее время измеряется в минутах; нестандартные сбои и так далее.
Читать далееИсточник: Хабрахабр
Похожие новости
- 50% экспертов программатик-сегмента считают, что запрет рекламы у иноагентов негативно повлияет на объём доступного инвентаря
- SSD killer
- Обратная сторона омниканальности
- В Яндекс Картах теперь можно подписываться на отзывы других пользователей
- Международная премия Eventiada Awards 2024 открывает приём заявок в апреле
- СберСеллер рассказал об особенностях работы в Telegram Ads
- Обеспечение безопасности на выделенных серверах: очистка следов с xDedic и специализированным батником
- Кибершпионы из Core Werewolf пытались атаковать российскую военную базу в Армении
- Книга: «Кибербезопасность: главные принципы»
- Профессия «кибердетектив»: кто такой исследователь угроз и как им стать