Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 632 сообщений
Cообщения с меткой

whatsapp - Самое интересное в блогах

Следующие 30  »
АннА-Ф

Про WhatsApp. 10 полезных советов для пользователей

Воскресенье, 24 Июля 2016 г. 08:58 (ссылка)

Это цитата сообщения Donnarossa Оригинальное сообщение

Про WhatsApp. 10 полезных советов для пользователей




WhatsApp — бесплатный частный коммерческий мессенджер для смартфонов. Позволяет пересылать текстовые сообщения, изображения, видео и аудио через Интернет. Клиент работает на платформах Symbian, Android, iOS, Windows Phone. Компания WhatsApp Inc., создавшая мессенджер, основана Яном Кумом и Брайаном Эктоном в 2009 и расположена в Маунтин-Вью, США; с октября 2014 года принадлежит Facebook Inc. С 2016 приложение стало бесплатным, пользователь оплачивает лишь использованный приложением интернет-трафик. Приложением пользуется больше миллиарда человек. Потери сотовых операторов от снижения выручки за SMS-сообщения из-за растущей популярности WhatsApp по оценкам могут достигнуть десятков миллиардов долларов.


10 полезных советов для пользователей WhatsApp.


«Все записи между нашим пользователем и сервером


зашифрованы. Мы не храним сообщений после отправки.


Они хранятся только на телефоне пользователя.


Честное миллиардерское!


Ян Кум»


Читать далее...
Метки:   Комментарии (1)КомментироватьВ цитатник или сообщество
Donnarossa

Про WhatsApp. 10 полезных советов для пользователей

Суббота, 23 Июля 2016 г. 21:50 (ссылка)


WhatsApp — бесплатный частный коммерческий мессенджер для смартфонов. Позволяет пересылать текстовые сообщения, изображения, видео и аудио через Интернет. Клиент работает на платформах Symbian, Android, iOS, Windows Phone. Компания WhatsApp Inc., создавшая мессенджер, основана Яном Кумом и Брайаном Эктоном в 2009 и расположена в Маунтин-Вью, США; с октября 2014 года принадлежит Facebook Inc. С 2016 приложение стало бесплатным, пользователь оплачивает лишь использованный приложением интернет-трафик. Приложением пользуется больше миллиарда человек. Потери сотовых операторов от снижения выручки за SMS-сообщения из-за растущей популярности WhatsApp по оценкам могут достигнуть десятков миллиардов долларов.


10 полезных советов для пользователей WhatsApp.


«Все записи между нашим пользователем и сервером


зашифрованы. Мы не храним сообщений после отправки.


Они хранятся только на телефоне пользователя.


Честное миллиардерское!


Ян Кум»


Читать далее...
Метки:   Комментарии (2)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Организация аутентификации по СМС по примеру Telegram/Viber/WhatsApp

Четверг, 14 Июля 2016 г. 19:49 (ссылка)

Представим, что перед вами стоит задача организовать аутентификацию пользователя (в мобильном приложении, в первую очередь) так, как это сделано в Telegram/Viber/WhatsApp. А именно реализовать в API возможность осуществить следующие шаги:




  • Пользователь вводит свой номер телефона и ему на телефон приходит СМС с кодом.

  • Пользователь вводит код из СМС и приложение его аутентифицирует и авторизует.

  • Пользователь открывает приложение повторно, и он уже аутентифицирован и авторизован.



Я постараюсь кратко изложить выработанный подход к этому вопросу. Подразумевается, что у вас API, HTTPS и, вероятно, REST. Какой у вас там набор остальных технологий неважно. Если интересно — добро пожаловать под кат.



Изменения в API



В сущности требуется добавить два добавить три метода в ваше API:




  • Запросить СМС с кодом на номер, в ответ — токен для последующих действий.



Действие соответствует CREATE в CRUD.



    POST /api/sms_authentications/
Параметры на вход:
phone
Параметры на выход:
token


Если всё прошло, как ожидается, возвращаем код состояния 200.



Если же нет, то есть одно разумное исключение (помимо стандартной 500 ошибки при проблемах на сервере и т.п. — некорректно указан телефон. В этом случае:



HTTP код состояния: 400 (BAD_REQUEST), в теле ответа: PHONE_NUMBER_INVALID.




  • Подтвердить токен с помощью кода из СМС.



Действие соответствует UPDATE в CRUD.



    PUT /api/sms_authentications//
Параметры на вход:
sms_code


Аналогично. Если всё ок — код 200.



Если же нет, то варианты исключений:




  1. Некорректный токен: HTTP код состояния: 400 (BAD_REQUEST), в теле ответа: TOKEN_INVALID.

  2. Некорректный код: HTTP код состояния: 400 (BAD_REQUEST), в теле ответа: SMS_CODE_INVALID.




  • Форсированная отправка кода повторно.



    PUT /api/sms_authentications//resend


Аналогично. Если всё ок — код 200.



Если же нет, то варианты исключений:




  1. Некорректный токен: HTTP код состояния: 400 (BAD_REQUEST), в теле ответа: TOKEN_INVALID.

  2. Слишком частая отправка (скажем, прошлая отправка была не позднее чем 60 секунд назад): HTTP код состояния: 400 (BAD_REQUEST), в теле ответа: TOO_OFTEN.



Помимо этого, каждый метод API, который требует аутентифицированного пользователя должен получать на вход дополнительный параметр token, который связан с пользователем.



Литература:




  1. Образец для подражания — API Telegram: https://core.telegram.org/methods

  2. Дискуссия на SOF: http://stackoverflow.com/questions/12401255/sms-registration-like-in-the-mobile-app-whatsapp



Изменения в коде сервера



Вам потребуется хранить специальный ключ для проверки СМС-кодов. Существует алгоритм TOTP, который позволяет, цитирую Википедию:



OATH-алгоритм создания одноразовых паролей для защищенной аутентификации, являющийся улучшением HOTP (HMAC-Based One-Time Password Algorithm). Является алгоритмом односторонней аутентификации — сервер удостоверяется в подлинности клиента. Главное отличие TOTP от HOTP это генерация пароля на основе времени, то есть время является параметром[1]. При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (например, 30 секунд).


Грубо говоря, алгоритм позволяет создать одноразовый пароль, отправить его в СМС, и проверить, что присланный пароль верен. Причём сгенерированный пароль будет работать заданное количество времени. При всём при этом не надо хранить эти бесконечные одноразовые пароли и время, когда они будут просрочены, всё это уже заложено в алгоритм и вы храните только ключ.



Пример кода на руби, чтобы было понятно о чём речь:



totp = ROTP::TOTP.new("base32secret3232")
totp.now # => "492039"

# OTP verified for current time
totp.verify("492039") # => true
sleep 30
totp.verify("492039") # => false


Существует масса реализацией этого алгоритма для многих языков: для Ruby и Rails, для Python, для PHP и т.д..



Итого, в модели (или в таблице БД, если угодно) надо хранить:




  1. Телефон: phone (советую использовать библиотеки для унификации телефонного номера, вроде этой для Rails),

  2. Ключ для TOTP: otp_secret_key (читаете подробное README для выбранной библиотеки TOTP),

  3. Токен: token (создаете при первом запросе к API чем-нибудь типа SecureRandom),

  4. Ссылку на пользователя: user_id (если у вас есть отдельная таблица/модель, где хранятся данные пользователя).



Особенности реализации мобильного приложения



В случае Android полученный токен можно хранить в SharedPreferences, а для iOS в KeyChain. См. обсуждение на SoF.



Заключение



Вышеописанный подход позволит вам в рамках вашего стека технологий реализовать указанную задачу. Если вас есть соображения по этому подходу или альтернативные подходы, то прошу поделиться в комментариях. Аналогичная просьба, если у вас есть примеры документации к безопасным системам хранения в других мобильных ОС.


Original source: habrahabr.ru.

https://habrahabr.ru/post/305694/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Комментарии (0)КомментироватьВ цитатник или сообщество
Trang

В России могут запретить звонки со Skype, Viber, WhatsApp и других сервисов — Виртуальный Кореновск

Суббота, 21 Мая 2016 г. 17:27 (ссылка)
mykor.ru/stati/v-rossii-mog...kype-.html

Минконсвязи РФ предложило изменить схему взаимодействия операторов связи и запретить звонить через Skype, WhatsApp, Viber и другие подобные программы.
Подробнее читаем далее...
#Интересное_виртуальныйкореновск
Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Максимыч-

Клиент популярного мессенджера для компьютера.

Понедельник, 16 Мая 2016 г. 19:16 (ссылка)




Клиент популярного мессенджера для компьютера.


Makсимыч


Метки:   Комментарии (2)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Как взломать Telegram и WhatsApp: спецслужбы не нужны

Пятница, 06 Мая 2016 г. 10:43 (ссылка)

На прошлой неделе общественность взбудоражила новость о причастности спецслужб к взлому Telegram опозиционеров. На протяжении своего существования человечество все необъяснимое пыталось объяснить с помощью высших сил – Богов. В наше время все непонятные вещи объясняют происками спецслужб.



Мы решили проверить, действительно ли нужно быть спецслужбой, чтобы получить доступ к чужому аккаунту Telegram.



Мы зарегистрировали тестовый аккаунт Telegram, обменялись несколькими тестовыми сообщениями:







Далее провели атаку через сеть SS7 на один из тестовых номеров (подробнее о самих атаках мы писали ранее).



Узнаем IMSI…











Перерегистрируем абонента на наш терминал…







Получаем профиль абонента…



















Завершаем процедуру перерегистрации абонента…







Теперь номер жертвы под полным нашим контролем, инициируем на любом девайсе процедуру подключения к Telegram под аккаунтом жертвы (номер телефона) и получаем заветную SMS…







После ввода кода мы получаем полноценный доступ к аккаунту Telegram, теперь мы можем не только вести переписку от имени жертвы, но и прочитать всю переписку, которую клиент Telegram любезно подгружает (телефон справа имеет полную копию переписки среднего):







Однако, прочитать секретные чаты невозможно:







Но можно создать новый и переписываться от имени жертвы:







После чего мы провели атаку по той же схеме на WhatsApp. Доступ к аккаунту мы конечно же получили, однако, т.к. WhatsApp, якобы не хранит историю переписки на сервере, получить доступ к переписке, которая была ранее, не удалось. WhatsApp хранит backup переписки в Google Drive, поэтому для получения доступа к ней необходимо кроме этого взломать аккаунт Google. Зато вести переписку от имени жертвы, так что она не будет об этом знать – вполне реально:







Выводы: уж сколько раз твердили миру, что одноразовые коды посредством SMS не безопасны, т.к. мобильная связь не безопасна, и уязвимостям подвержены не только технологическая сеть SS7 но и алгоритмы шифрование радиоинтерфейса. Атаки на сеть SS7 можно осуществлять из любой точки мира, а возможности злоумышленника не ограничиваются взломом мессенджеров. Таким образом, сейчас все эти атаки становятся доступны не только спецслужбам, но и многим другим. Стоит отметить, что все тесты проводились с настройками по умолчанию, т.е. в режиме в котором работает большинство пользователей.



Original source: habrahabr.ru.

https://habrahabr.ru/post/283052/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Комментарии (0)КомментироватьВ цитатник или сообщество
Igor_Tirsen

Переписка ООН в чате

Четверг, 06 Мая 2016 г. 00:42 (ссылка)



Метки:   Комментарии (1)КомментироватьВ цитатник или сообщество

Следующие 30  »

<whatsapp - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda