Перейти к содержанию
Fire Monkey от А до Я

Вопрос

На одном популярном форуме, как известно, как-то исторически прижились целые варез-зеркала App Store и Google Play (нужно во всём искать позитив: ломают - значит любят :D), и в связи с этим возникают закономерные вопросы:

  1. Как вы защищаете свои FMX-приложения (нюансы, тонкости, характерные особенности и приёмы)?
  2. Когда (т.е. как скоро после первого релиза) вы обнаружили "вылеченную" копию своего приложения?
  3. Пытались ли вы изменить степень/уровень защиты вашего приложения после того, как узнали о его успешном взломе?
  4. Изменила ли что-нибудь такая "популярность" вашего FMX-приложения (количество покупок, загрузок, платежей)?
Изменено пользователем rakhmet
Ссылка на комментарий

Рекомендуемые сообщения

  • 0

слышал, что взломать apk проще, чем Windows-программы, защищенные например ASProtect или VMProtect, но пока не писал программы для продажи через Google Play,

Ссылка на комментарий
  • 0
5 часов назад, rakhmet сказал:

Как вы защищаете свои FMX-приложения (нюансы, тонкости, характерные особенности и приёмы)?

клиентскую часть, т.е. непосредственно само приложение - никак. Без доступа к серверу в моем случае оно бесполезно.

Сервер может обладать информацией о всех устройствах, которые когда-либо к нему подключались и может блокировать новые, если лимит используемых устройств превышен. Или блокировать конкретные, если они выведены из эксплуатации. Или  вообще залочить доступ всем устройствам клиента - по усмотрению.

Но это в моем случае, т.к. приложение не общедоступно и не будет выкладываться в AppStore.

Ну и "вылечивать" приложение в моем случае смысла нет - достаточно скоро его функционал просто устареет, и крякнутая программа просто станет не актуальной.

 

В общем и целом, если программе требуется подключение к серверу - защиту нужно реализовывать имено на нем. Но от взлома защищаться бессмысленно - когда приложение станет действительно популярным, его все равно поломают. А до тех пор - можно спать спокойно, взломщики даже не посмотрят в вашу сторону.

Ссылка на комментарий
  • 0

У меня немного иная задача и условия в целом. В мобильном приложении нужно сохранить пароль. В открытом виде его держать никто не собирается, естественно, но после расшифровки он будет передан компоненту в string-значении - это всё, моментальный конец?

 

И вообще, файлы мобильных приложений - они как, вскрываются сначала как архивы, а потом как текстовые файлы, включая исходники? Или всё же разобрать побайтово скомпилированное приложение пока ещё нереально?

Ссылка на комментарий
  • 0
  • Модераторы
9 минут назад, rakhmet сказал:

У меня немного иная задача и условия в целом. В мобильном приложении нужно сохранить пароль. В открытом виде его держать никто не собирается, естественно, но после расшифровки он будет передан компоненту в string-значении - это всё, моментальный конец?

 

И вообще, файлы мобильных приложений - они как, вскрываются сначала как архивы, а потом как текстовые файлы, включая исходники? Или всё же разобрать побайтово скомпилированное приложение пока ещё нереально?

для таких целей есть одна удобная фишка, наверное часто видели запрос пин-кода при открытии приложения

  • авторизация/регистрация на сервере
  • сохраняется пароль на устройстве и шифруруете (не нужно его никуда выводить)
  • задаете 4-х значный пин-код (пин-код храните локально)
  • все последующие открытия приложения будут запрашивать пин-код, если он валиден, то считываете пароль и проходите авторизацию
Ссылка на комментарий
  • 0
2 минуты назад, Равиль Зарипов (ZuBy) сказал:

для таких целей есть одна удобная фишка, наверное часто видели запрос пин-кода при открытии приложения

  • авторизация/регистрация на сервере
  • сохраняется пароль на устройстве и шифруруете (не нужно его никуда выводить)
  • задаете 4-х значный пин-код (пин-код храните локально)
  • все последующие открытия приложения будут запрашивать пин-код, если он валиден, то считываете пароль и проходите авторизацию

А каким образом защищается часть, отвечающая за последние 3 пункта? Если FMX-приложения действительно легко взламываются - что теоретически может помешать закомментировать их атакующему, и просто миновать их при открытии?

Ссылка на комментарий
  • 0

Просто ещё не видел ни одного сообщения о том, что FMX-приложения устойчивы ко взлому. Вокруг все только и твердят, что "от взлома защищаться бессмысленно", и всё в таком же духе.

Л - логика :)

 

 

А если серьёзно - FMX-приложение чем-то хуже/лучше, чем приложение, скомпилированное в той же Java? Кроме размера и скорости работы. Меня сейчас интересует исключительно пассивная стойкость ко взлому.

Ссылка на комментарий
  • 0
1 час назад, rakhmet сказал:

А если серьёзно - FMX-приложение чем-то хуже/лучше, чем приложение, скомпилированное в той же Java? Кроме размера и скорости работы. Меня сейчас интересует исключительно пассивная стойкость ко взлому.

Нуу... его чуть дольше придется декомпилировать, т.к. намного больше кода будет в приложении

Ссылка на комментарий
  • 0
1 час назад, rakhmet сказал:

Просто ещё не видел ни одного сообщения о том, что FMX-приложения устойчивы ко взлому.

Вы подменяете терминологию. Никакое приложение само по себе не является устойчивым к взлому, если оно не содержит средства защиты от этого взлома. На каком бы языке ни было написано.

Более того, нужно отличать хак приложения (чтобы оно запустилось вне зависимости от наличия лицензии) и получение данных, с которыми работает это приложение.

Ссылка на комментарий
  • 0

Зачитался сейчас о способах взлома - голова кругом :wacko:

 

Прошу уточнить детали из того, что я понял в прочитанном: если мобильное приложение (и Android, и iOS) взламывается - его для дальнейшего распространения в любом случае обязательно требуется переподписать. Скажем, моего (оригинального - авторского) сертификата у атакующего, понятное дело, быть не может, поэтому ему придётся использовать свой собственный (купленный или созданный на коленке). Всё верно?

Если всё верно - могу ли я, автор, по ходу работы своего мобильного приложения проверить, валидный ли сертификат используется?

Ссылка на комментарий
  • 0
11 минут назад, rakhmet сказал:

сли мобильное приложение (и Android, и iOS) взламывается

Давайте сперва уточним, что именно вы подразумеваете под взломом?

Потому что если рассматривать взлом, как его понимаю я - то всякие "проверки сертификатов" будут убраны в ходе этого взлома. Поскольку являются неотъемлимой частью хака приложения. Взлом и дальнейшее распространение на мой взгляд - это "сделать так, чтобы программа всегда считала себя лицензионной и работала как ни в чем ни бывало".

Ссылка на комментарий
  • 0

Взлом FMX приложения скорее всего более сложен чем взлом Java приложения.

Хотя бы по причине кучи декомпиляторов Java байткода, с Delphi же сложнее, придеться копаться в бинарнике каким-нибудь отладчиком/дизассемблером.

Ссылка на комментарий
  • 0
3 часа назад, rakhmet сказал:

Да, придётся мне повременить с публикацией - архитектура в том виде, в каком она сейчас есть, вообще не годится.

Сколько не видел хороших приложений, почти всегда есть взломанные.

Ссылка на комментарий
  • 0

Нет, но думаю что если FMX настолько устойчива к взлому и примерно представляя как пытаются защитить свой софт некоторые компании, то  Kitty  не поднимала бы вопрос о дальнейшей судьбе FMX.

Изменено пользователем GASCHE
Ссылка на комментарий
  • 0
1 час назад, GASCHE сказал:

Нет, но думаю что если FMX настолько устойчива к взлому и примерно представляя как пытаются защитить свой софт некоторые компании, то  Kitty  не поднимала бы вопрос о дальнейшей судьбе FMX.

ууу кипишь. Прими как должное: если взломают - значит любят. Я б даже радовался если мой софт стал столь популярен что его ломать хотят

Ссылка на комментарий
  • 0
8 часов назад, rareMax сказал:

ууу кипишь.

Да нет, просто не представляю того, кто рискнет писать серьезные приложения на FMX, а не серьезные так их и ломать будут не по серьезному. 

Изменено пользователем GASCHE
Ссылка на комментарий
  • 0
14 минут назад, GASCHE сказал:

просто не представляю того, кто рискнет писать серьезные приложения на FMX

например kami у него софт, связанный с авиацией (куда уж серьезнее?) и написан как раз на FMX под iOS (если не ошибаюсь)

Ссылка на комментарий
  • 0

Чего-то вы вообще не в ту степь полезли.

12 часов назад, GASCHE сказал:

если FMX настолько устойчива к взлому

Не надо подменять понятия и считать что кто-то сделает за вас всю работу. Еще раз - язык программирования, фреймворк, набор каких-либо исходников и т.п. не является устойчивым к взлому. Устойчивость придают усилия программиста, который намеренно защищает критичные участки своего кода различными доступными ему средствами. Это и только это придает устойчивость.

 

9 часов назад, Error сказал:

Когда(если это произойдет вообще) софт на FMX начнут ломать, можно будет сказать что FMX "взлетел"

Чтобы начали ломать софт на FMX - софт должен стать популярным. Вероятность популяризации софта в какой-то мере пропорциональна количеству написанного софта. Количество написанного софта тем больше, чем популярнее язык/фреймворк. Посему - фразу следует построить так "Когда (если) FMX станет популярным - появится и взломанный софт, написанный на нем".

2 часа назад, sinuke сказал:

написан как раз на FMX под iOS (если не ошибаюсь)

Все правильно.

Ссылка на комментарий
  • 0
1 час назад, kami сказал:

Не надо подменять понятия и считать что кто-то сделает за вас всю работу.

Это не ко мне, а к тем, кто думает, что FMX устойчива к взлому.

Ссылка на комментарий
  • 0
3 часа назад, kami сказал:

Чтобы начали ломать софт на FMX - софт должен стать популярным. Вероятность популяризации софта в какой-то мере пропорциональна количеству написанного софта. Количество написанного софта тем больше, чем популярнее язык/фреймворк. Посему - фразу следует построить так "Когда (если) FMX станет популярным - появится и взломанный софт, написанный на нем".

Тоже самое сказанное другими словами.

Ссылка на комментарий

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...