Re: [androidbrasil-dev] Re: Como ocultar URL de webservice usando PROGUARD ou outro meio ?

Então, alguém falou que consegue pegar os dados do cabeçalho, mas acho que no HTTPS não tem como fazer isso (a não ser com um "Man In The Middle" [0], mas se o cara chegou nesse nível, até o token dinâmico estilo cartão de banco, que atualiza a cada uso, vai falhar), mas se o HTTPS não resolver, provavelmente o HTTP 2 [1] resolve...

Dependendo de como o seu servidor trabalho você pode colocar um proxy reverso (nem que seja apenas para o seu app) que suporte o HTTP 2...

[0] https://pt.wikipedia.org/wiki/Ataque_man-in-the-middle

[1] https://http2.github.io/faq/

     http://blog.caelum.com.br/as-fantasticas-novidades-do-http-2-0-e-do-spdy/

     http://helabs.com/blog/2014/12/12/simplificando-o-http-2/

Em 16 de junho de 2016 15:40, Miron Alighieri dos Santos <hiphopmanbr@gmail.com> escreveu:

Isso!

Ele precisa garantir que sejam feitos acessos apenas por meios permitidos e autenticados. Sendo assim, mesmo que alguém descubra todos os serviços que ele usa, não será possível fazer acesso a eles.

Miron Alighieri

LG G3 - BH

Em 16 de junho de 2016 14:58, Leonardo S <leonardo.s.comm@gmail.com> escreveu:

Não faz sentido esconder a url .. como já falaram, basta um sniffer na rede, que o protocolo HTTP já exibe essa informação.

Melhor focar em garantir a segurança do back-end contra acessos indevidos.

Em 16 de junho de 2016 12:55, Miron Alighieri dos Santos <hiphopmanbr@gmail.com> escreveu:

Não sei bem se é só segurança. Acho que ele teme por engenharia reversa, como ele chegou a comentar no primeiro e-mail. Tipo, alguém pega seu App, pega os serviços que ele faz requisição e desenvolve outra interface pra ele, fazendo dele um concorrente que usa a mesma estrutura.

Miron Alighieri

LG G3 - BH

Em 16 de junho de 2016 11:58, pedrofsn <pedrokra@gmail.com> escreveu:

É um caminho Francis.
Como disse, vai depender do nível da segurança desejada.

Se for pra guardar... sei lá, a hora e a data do servidor, talvez nem compensa colocar segurança neste caso - por exemplo.


Em quinta-feira, 16 de junho de 2016 10:20:04 UTC-3, Francis Mariano escreveu:

@pedro, eu li que dá pra fazer um refresh no token a cada requisição, assim a comunicação pode ficar mais "segura"

Em 16 de junho de 2016 10:14, pedrofsn <pedr...@gmail.com> escreveu:

Bom dia amigo,

Sendo sincero, não tem como.

Primeiro, se sua URL ficar em algum arquivo do projeto da pasta resource é "trivial menos menos" pra acessar ela através do APK.

Segundo, se você deixar sua URL no java não adiantar muita coisa porque por mais que o Java tenha ofuscação de código e você ainda dê um up nisto com o pro guard a sua URL ainda vai ser um conteúdo de uma variável e obviamente ela não vai ser afetada nem pelo ofuscamento do java e nem do proguard.

Terceiro, se eu ligar um wireshark ("monitorador de rede") no meu pc de casa e usar seu app conectado a wifi de casa, já era. Vou conseguir monitorar todos os pacotes que estão sendo trafegados e pela arquitetura do protocolo HTTP eu sempre vou ver os pacotes vindos de algum lugar (IP) indo para outro (sua URL). 

Sugestão, ao invés de se perguntar como ocultar um endpoint, pergunte-se como tornar este endpoint seguro ("acesso exclusivo"). 

Em um dos comentários alguém citou token, é um bom começo*. 

* Ainda tem a preocupação de "e se roubar o token", como identifico? Ex.: No caso 3 se monitoro uma rede, vejo a url da requisição e vejo o token no cabeçalho/header do pacote de dados. Então consigo fazer requisições para sua API me passando por um "usuário" pois tenho um token autenticado. Mas dependendo do que for fazer, só isso aqui já resolve mesmo. Nem tudo precisa de taaaanta segurança. É sério. :P

Att.
@pedrofsn

Em quarta-feira, 15 de junho de 2016 11:19:03 UTC-3, gorio escreveu:

Bom dia amigos,

Poderiam me ajudar em uma dúvida que talvez possa ser comum.

Qual é a melhor maneira de ocultar uma URL de um webservice de um APP para que não seja exibida quando realizado engenharia reversa ?

Se puderem me dar um exemplo eu agradeço.

Atenciosamente

Gorio

--
You received this message because you are subscribed to the Google Groups "Android Brasil - Dev" group.
To unsubscribe from this group and stop receiving emails from it, send an email to androidbrasil-...@googlegroups.com.
For more options, visit https://groups.google.com/d/optout.

--
You received this message because you are subscribed to the Google Groups "Android Brasil - Dev" group.
To unsubscribe from this group and stop receiving emails from it, send an email to androidbrasil-dev+unsubscribe@googlegroups.com.
For more options, visit https://groups.google.com/d/optout.

--
You received this message because you are subscribed to the Google Groups "Android Brasil - Dev" group.
To unsubscribe from this group and stop receiving emails from it, send an email to androidbrasil-dev+unsubscribe@googlegroups.com.
For more options, visit https://groups.google.com/d/optout.

--
You received this message because you are subscribed to the Google Groups "Android Brasil - Dev" group.
To unsubscribe from this group and stop receiving emails from it, send an email to androidbrasil-dev+unsubscribe@googlegroups.com.
For more options, visit https://groups.google.com/d/optout.

--
You received this message because you are subscribed to the Google Groups "Android Brasil - Dev" group.
To unsubscribe from this group and stop receiving emails from it, send an email to androidbrasil-dev+unsubscribe@googlegroups.com.
For more options, visit https://groups.google.com/d/optout.

--

Eldio Santos Junior
Tel.: (21) 98884-3757
Skype: eldiojr
Twitter: @eldius

Página pessoal: http://eldiosantos.net

                        http://eldiosantos.net/sobre/ 
Email/GTalk: eldiosantos@gmail.com

--
You received this message because you are subscribed to the Google Groups "Android Brasil - Dev" group.
To unsubscribe from this group and stop receiving emails from it, send an email to androidbrasil-dev+unsubscribe@googlegroups.com.
For more options, visit https://groups.google.com/d/optout.