Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты

О новом мобильном приложении Пикабу и безопасности пользователей

Вставлю свои пять копеек как программист и человек, который занимается поиском уязвимостей на сайтах.
Хочу немного снять эйфорию по поводу появления нового мобильного приложения и предостеречь пользователей.
То, что у Пикабу нет своего API, означает, что разработчики мобильного приложения имеют полный доступ к аккаунтам пользователей, авторизовавшихся в приложении. А соответственно, при желании, могут сохранять ваши пароли и данные сессии. И даже если разработчики этого приложения не имеют злых умыслов, нет гарантии, что в их команде не появится злоумышленник. Поэтому вы должны понимать, что авторизация в данном приложении не безопасна, особенно, если на Пикабу у вас пароль такой же, как и на вашей почте, в соцсетях и т.д.
В общем пищу для размышлений я подбросил, а дальше решайте сами.
По хорошему, нужно требовать от разработчиков сайта предоставить API.

UPDATE: У Пикабу таки есть API и тогда возникает резонный вопрос: разработчики либо не квалифицированные, либо не смогли договориться с администрацией Пикабу, либо намеренно не используют API со злым умыслом
Приложение Безопасность Пароль Данные сессии Текст
85
Все комментарии Автора
1
Аватар пользователя JIe6egeBJIe6egeB
Автор поста оценил этот комментарий
а у приложения, которое уже давно доступно есть API?
раскрыть ветку (1)
2
dinikin
Автор поста оценил этот комментарий
да
Аватар пользователя oddieoddie
Автор поста оценил этот комментарий
OMG, да даже если бы и было API всё равно у разраба будет 100500 лазеек для получения данных по именам и паролям из своего приложения. На то он и разраб.
раскрыть ветку (1)
1
dinikin
Автор поста оценил этот комментарий
Это уже не разраб, а мошенник.
показать ответы
n1kolyan
Автор поста оценил этот комментарий
Ну не требовать, а попросить API.
раскрыть ветку (1)
dinikin
Автор поста оценил этот комментарий
Учитывая объем аудитории и интерес со стороны разработчиков, пора уже именно требовать
Аватар пользователя SEVENIDSEVENID
Автор поста оценил этот комментарий
Ни разу не находил, хотя искал.
Предпросмотр
раскрыть ветку (1)
dinikin
Автор поста оценил этот комментарий
Установите официальное мобильное приложение и Фиддлером потрекайте запросы к серверу
FGump
Автор поста оценил этот комментарий
А какая разница в плане безопасности? Есть апи, нет его... Все равно пользователь вводит свои учётные данные в приложение. В обоих случаях разработчик может перехватить их. Апи лишь упрощает взаимодействие с сайтом.
раскрыть ветку (1)
dinikin
Автор поста оценил этот комментарий
Согласен, авторизация через АПИ также не безопасна, АПИ нужно для ограничения прав приложения. Авторизацию нужно реализовывать отдельно, с переадресацией на сайт Пикабу в браузере
sdfghjhgfd
Автор поста оценил этот комментарий
Видимо ОП как программист и человек, который занимается поиском уязвимостей на сайтах не видит разницы между API и механизмами серверной авторизации (тот же OAuth).
раскрыть ветку (1)
dinikin
Автор поста оценил этот комментарий
Я отлично понимаю разницу между АПИ и OAuth, и то, что последний должен использоваться для доступа к АПИ. И фактически то АПИ, которое сейчас есть, не может этого обеспечить, поэтому его нужно дорабатывать.
dom1n1k
Автор поста оценил этот комментарий
Это о приложении, которое сейчас в AppStore или каком-то еще более новом?
раскрыть ветку (1)
1
sal3x
Автор поста оценил этот комментарий
"У Пикабу таки есть API"

ссыль же, ссыль
раскрыть ветку (1)
dinikin
Автор поста оценил этот комментарий
оно не публичное, а используется официальным мобильным приложением , пример запроса к АПИ pikabu.ru/api/images/post/2947088/jpg
показать ответы
firbi
Автор поста оценил этот комментарий
ОБОЖЕ ТЕПЕРЬ ОНИ УКРАДУТ ВСЕ МОИ ЛАЙКИ. ВЕСЬ ОДИН.

Тут блин у людей на банкинге пароль 123 стоит. А вы про безопасность на пикабу. Жесть.
раскрыть ветку (1)
dinikin
Автор поста оценил этот комментарий
ну так в банкинге наверное для осуществления финансовых операций или редактирования профиля используется смс подтверждение или отдельный пароль