Привет Хабр!
На связи маленькое, но гордое сообщество людей, делающих android-приложения безопаснее. Нашему сообществу в этом году исполнилось 3 года и было решено подвести некоторые промежуточные итоги, рассказать, как создавалось наше сообщество и поделиться дальнейшими планами. Ну и конечно же, сделать анонс нашего первого митапа.
Однажды ночью, я написал в телеграм-чат своему товарищу следующее (ниже будет не слишком литературный язык)
Короч, телеграм стал популярным (ваш кэпетан) и всякие люди тут создают всякие чатики да еще и вдобавок всякие каналы. Короче полный трэш, угар и каматоз ) Решил и я не отставать от мирового прогресса (или деградации?) и запилить свой чатик. Тематика: андройдный инфобез в целом или же просто ревес. Я пока не решил. Но пришел я к тебе не с этим. Хочу твоё мнение: а надо ли оно вообще весь этот геморрой?)
14.06.2017
После этого было немного обсуждений, но в итоге, несмотря на все предостережения со стороны товарища я пошел и создал тот самый чат, которого мне так не хватало в свое время. Потом я пригласил туда несколько своих знакомых и… на текущий момент нас 700+ человек. Но это было сильно позже. Да и вообще у чата не было какого-то взрывного роста. Видимо слишком узкая тема. Я рассказывал про него на конференциях, активно участвовал в обсуждениях и чат постепенно прирастал новыми людьми.
Джон: Всем привет. Есть ли какой-нибудь смысл просить приложить палец при активации входа в приложение по touch id? Просто сейчас попалось приложение, которое этого не требует, и у меня скрипт в голове сломался
Майк: Eсть два варианта реализации входа по отпечатку - с помощью симметричного ключа и с помощью ключевой пары. В первом случае при подключении входа по биометрии палец нужно прикладывать для разблокировки ключа и шифрования на этом ключе токена авторизации. Во втором не надо, т.к. шифрование происходит на открытом ключе. Либо это может быть уязвимая реализация вообще без шифрования
Джон: Спасибо большое за развернутый ответ)
Стоит сказать, что я люблю делиться всякой информацией, которую считаю полезной или важной. И я периодически скидывал в чат всякие ссылки, файлы и веселые картинки. В какой-то момент я понял, что это все теряется в недрах чата и мне самому тяжело потом эти материалы искать. Так родилась следующая идея - сделать канал и связать его с этим чатом. Спасибо Паше, пока что это бесплатно. Канал я стал использовать сначала для ссылок и всякого подобного, а потом решил закидывать туда, то, что принято называть «авторский контент».
Google наконец-то расчехлился на официальный гайд по шифрованию данных с помощью Jetpack Security. Мы получили более-менее разумное описание с интересными подробностями. В частности показано как связать это с BiometricPrompt. А еще стало известно "официальное" сокращение названия этой библиотеки - JetSec. Это сделает нашу жизнь в два раза лучше ;) В конце статьи есть ссылка на исходники приложения, которое показывает как пользоваться шифрованием файлов c помощью Jetpack Security.
#jetpack_security, #google, #4developers, #cryptography
??Стартую новую рубрику "Чердачок Брюса Шнайера" в ней буду писать всякое про криптографию и пробовать приземлять это на Android-реальность.
Выпуск №1 "Самые базовые понятия"
В криптографии, как в и любой другой области знаний есть свой язык и даже свой жаргон. Не зная его, порой тяжело понимать разные важные концепции, которые можно встретить в статьях и докладах. Сегодня поговорим про самые базовые понятия, которые для кого-то могут показаться очевидными, но без них невозможно двигаться дальше.
Криптография обычно оперирует двумя сторонами - "отправитель" и "получатель" которые передают друг-другу "сообщения". Чуть позже мы дадим имена этим безликим сторонам. При этом, обе стороны хотят обеспечить секретность своих сообщений и быть уверенными, что "перехватчик" не сможет их прочитать.
Сообщения принято называть открытым текстом(plaintext), а процесс маскировки сообщения называют шифрованием(encryption). Зашифрованное сообщение называется шифротекст(ciphertext), а процесс преобразования шифротекста обратно в открытый текст называется расшифровкой(decryption)
Хозяйке на заметку: В соответствии со стандартом ISO 7498-2 в англоязычных текстах используются термины enchiper вместо encrypt и decipher вместо decrypt. Видимо, это объясняется тем, что в некоторых культурах термины encrypt и decrypt ассоциируются со словом crypt(склеп).
#ЧБШ
Но потом мне и этого формата стало не хватать и я решил сделать еще и канал на YouTube (а также инстаграм, фейсбук и аккаунт в одноклассниках). И теперь, кажется, у меня есть все необходимые инструменты, чтобы доносить людям полезную информацию. При чем работает это и в обратную сторону. Я часто узнаю что-то новое для себя.
Ну и следующим шагом на этом пути стал митап, который я задумал сделать. Об этой идее я хочу рассказать чуть подробнее.
Meetup #1
Первое и самое важное — митап будет полностью бесплатным и пройдет в online формате. Ситуация в стране и в мире сами знаете какая, поэтому пока будем встречаться в таком формате.
Вообще есть желание сделать такие митапы регулярными, но это все пока в планах. Для начала нужно провести первый и чтобы он получился действительно крутым, нужен хороший контент. Поэтому если вам есть что рассказать на тему безопасности android-приложений/ОС, то заполните вот эту форму, и я буду рад включить ваш доклад в программу митапа.
Вторая большая цель, которую я преследую запуская эти митапы — помощь неопытным докладчикам стать более опытными. Поэтому если вы никогда не делали публичные доклады и подаваться сразу на ZeroNights, PHDays или OFFZONE вам страшно, то можно выступить на этом митапе. Я со своей стороны помогу советами как сделать доклад лучше.
Сам митап пройдет в первых числах ноября. Точные даты будут позже, следите за анонсами в канале Android Guards.
true-hero
Ждем дату