Идентификатор мобильного приложения не соответствует указанному клиенту копилка

Обновлено: 06.01.2025

Я ищу способ аутентификации пользователей моего мобильного приложения безопасным способом. Мобильное приложение является чистым JS-приложением и использует ионный каркас (и, следовательно, кордову). Приложение будет связываться только с нашим сервером через REST API. Требования следующие:

Меканизм должен полагаться на отдельный бизнес-аккаунт (например, ссылка на Google, Facebook или любой другой API не является вариантом.)
Приложение будет находиться в публичных магазинах
Как и многие мобильные приложения (Gmail, Facebook. ), которые не нуждаются в такой безопасности, как банковские приложения, пользователь должен быть автоматически аутентифицирован после первого входа (шаблон "запомнить меня" )

OAuth 2 предоставляет долговременный токен, называемый "токен обновления". Я хотел бы использовать его с установкой даты истечения срока годности примерно на один год.

Однако, похоже, нет сильного меканизма, чтобы защитить этот токен. Действительно, как упоминание в Jamsheed Kamarudeen прокомментировал этот ответ qaru.site/info/16809/. , если токены обновления, идентификатор клиента и секретный идентификатор украдены (с помощью обнюхивания или взятия их непосредственно из устройство), злоумышленник сможет иметь неограниченный доступ к учетной записи пользователя. без каких-либо изменений, AFAIK, чтобы это произошло.

Это первый раз, когда я ищу меканизм безопасности, поэтому, возможно, я неправильно понял какой-то меканизм, пожалуйста, дайте мне знать. Тем не менее, я очень удивлен, увидев, как трудно найти правильный процесс. Я уверен, что это классическая проблема для всех мобильных приложений, но я не могу найти правильный способ решения этой проблемы.

Мой вопрос: как вы можете видеть выше, я не нашел одного безопасного mecanism для настройки этого процесса "автоматического входа" в веб-мобильное приложение. Что мне нужно настроить? У вас есть другой меканизм, чем те, которые я нашел, чтобы представить меня?

ОТВЕТЫ

Ответ 1

Помните о последствиях

Ваше желание иметь требование "помнить меня" означает, что (нет способа обойти его) у клиента будет какой-то способ иметь все, что необходимо для подключения к серверу, и пройти аутентификацию.

для OAUTH или не

OAUTH хорош, но если вы не будете доверять общим провайдерам, то почему все накладные расходы? Просто позвольте им выбрать пароль на вашем сайте за один раз в этом случае и не беспокоиться о том, что нужно делать OAUTH.

Теперь, когда сказано: почему бы не доверять поставщикам OAUTH? пользователь доверял им, иначе они не выбрали бы их, и, вероятно, они будут использовать одинаковый логин и пароль в любом случае, так что это не имеет большого значения.

SSL

Получение учетных данных, вынюхивая из правильно настроенного SSL-соединения: вы далеко за пределами того, о чем беспокоятся даже более продвинутые пользователи, такие как банки. Но правильно настройте SSL на своем сервере!

Компромисс на тему "запомнить меня"

Что вы можете сделать, чтобы улучшить ситуацию:

Вы можете аннулировать запрос клиента на его аутентификацию, если ваш сервер отмечает изменения отпечатка браузера, но сеанс остается тем же. Это может произойти из-за плохо настроенных прокси-серверов, но немногие из них уже существуют. И в худшем случае пользователю необходимо снова войти в систему.

вы можете использовать IP-адрес для местоположений GEO (например, в стране), и если вы заметите изменение страны из последнего соединения без повторного аутентификационного соединения: не соблюдайте память и не требуйте надлежащая проверка подлинности.

Защитить файлы cookie

Ответ 2

Независимо от технического решения, которое вы, наконец, выберете, останется неизменным:

не о мобильном приложении, вся архитектура клиент/сервер
Невозможно сохранить логины без риска для безопасности.
более безопасный способ - зашифровать его на устройстве
Лучше всего использовать способ использования банковских приложений: no persistance
однако два фактора sigin довольно безопасны.
Абсолютного ответа на этот вопрос нет, это просто выбор наилучшего выбора между этими соображениями и потребностями вашего приложения.

О encryt учетных данных

О шифровании учетных данных, действительно, код может быть прочитан, потому что проблема не является криптовым алгоритмом, а закрытым ключом. Если вы хотите зашифровать учетные данные, вам необходимо реализовать пользовательский интерфейс, который позволяет пользователю устанавливать код shema или pin или любой другой секрет, чтобы преобразовать в закрытый ключ для шифрования, а затем расшифровать учетные данные пользователя.

Но если пользователь потерял свой вывод, вам необходимо сгенерировать новые учетные данные на стороне сервера до reset server-password, а затем клиентскую клиентскую клиентскую часть reset.

Ответ 3

Один из способов сделать это: вы можете хранить закрытый ключ и токен в зашифрованном виде, тогда будет вопрос, где хранить ключ. Для этого, если вы используете кордову, вы можете просто создать плагин для кордовы и сохранить там ключи. В начале приложения вы можете позвонить в кордову, чтобы получить ключи. Поскольку плагин находится в исходной части, он будет скомпилирован, чтобы он обеспечил вам большую безопасность.

Рассказываем про идентификаторы устройств на Android и про то, как приложения злоупотребляют ими, чтобы больше зарабатывать на рекламе.

О том, как работает реклама в Интернете и как рекламные сети (и не только они) узнают, какие сайты вы посещаете, мы уже рассказывали. Но ваша виртуальная жизнь вряд ли ограничивается веб-страницами. Скорее всего, заметная ее часть проходит в мобильных приложениях, которые тоже нередко зарабатывают на рекламе. Для этого они, как и сайты, сотрудничают с рекламными сетями.

Чтобы маркетологи могли составить на вас детальное досье и показывать вам персонализированные объявления, мобильные программы отправляют им информацию о вашем устройстве. Даже ту, использовать которую в рекламных целях Google не разрешает.

Какая информация позволяет отследить ваше Android-устройство

Убедиться, что та или иная программа установлена именно на вашем устройстве, рекламной сети помогают специальные коды-идентификаторы. Как правило, их у смартфона, планшета и любого другого гаджета несколько, и большинство из них придуманы не для рекламы.

Так, уникальный номер IMEI нужен, чтобы распознавать ваш телефон в сотовых сетях и, например, блокировать краденые устройства. А при помощи серийного номера можно определить все гаджеты серии, в которых обнаружен брак, и отозвать их из магазинов.

Еще один уникальный идентификатор, MAC-адрес, нужен для подключения устройства к сети, а заодно может быть использован, чтобы ограничить набор гаджетов, которые имеют право подключаться к вашему домашнему WiFi. Наконец, Android ID (он же SSAID) разработчики приложений используют, чтобы продавать лицензии на ограниченное количество копий для платных версий своих продуктов.

Долгое время какого-то отдельного идентификатора для рекламы вообще не существовало, поэтому приложения отправляли своим партнерам те, к которым имели доступ. При этом спрятаться от объявлений по интересам пользователь практически не мог: те же IMEI или MAC-адреса — это уникальные номера, по которым устройство опознается однозначно. Каждый раз, когда очередное приложение передает в рекламную сеть один из них, та понимает, что его установили именно вы.

Теоретически существует возможность изменить эти номера — в том числе при помощи специальных приложений, но это непросто, и, что хуже, подвергает опасности ваш телефон. Дело в том, что для подобных экспериментов нужны root-права, а получая их, вы делаете устройство уязвимым. К тому же в некоторых странах манипуляции вроде смены IMEI запрещены законом.

Android ID поменять проще — для этого достаточно сбросить смартфон или планшет до заводских настроек. Но после этого придется заново задавать все параметры, устанавливать приложения, авторизоваться в каждом из них и так далее. В общем, куча мороки, так что желающих делать это часто, мягко говоря, не очень много.

Рекламный идентификатор — ожидание

В 2013 году в качестве компромисса между интересами пользователей Android и рекламщиков компания Google ввела специальный рекламный идентификатор. Его задают сервисы Google Play, и пользователь при желании может сбросить его и создать новый. Делается это в меню Настройки > Google > Реклама > Сброс рекламного идентификатора. С одной стороны, такой идентификатор позволяет рекламным сетям отслеживать привычки и увлечения владельцев устройств. С другой — если же хочется избавиться от слежки рекламщиков, вы можете в любой момент без лишних трудностей его сбросить.

По правилам магазина Google Play, в рекламных целях можно использовать только этот идентификатор. Площадка не запрещает связывать его с другими ID, но для этого приложению нужно получить согласие пользователя.

В теории это должно работать так: если вам нравится реклама по интересам, вы не трогаете рекламный идентификатор и можете даже разрешить приложениям объединять его с чем угодно. Если же нет, вы запрещаете связывать эту метку с другими и периодически сбрасываете ее, таким образом отвязывая свое устройство от собранного на него досье.

Увы, в действительности все несколько иначе.

Рекламный идентификатор — реальность

Как обнаружил исследователь Серж Эгельман (Serge Egelman), более 70% приложений в Google Play используют хотя бы один дополнительный идентификатор без предупреждения. Некоторые из них, например 3D Bowling, Clean Master и CamScanner, скачали многие миллионы человек.

Чаще всего в ход идет Android ID, хотя IMEI, MAC-адреса и серийные номера разработчики тоже задействуют. Некоторые приложения отправляют партнерам сразу три идентификатора и более. Так, игра 3D Bowling — видимо, для верности — использует и рекламный идентификатор, и IMEI, и Android ID.

Такой подход делает саму идею специального рекламного идентификатора бессмысленной. Даже если вы против слежки и регулярно сбрасываете его, маркетологи при помощи более стабильной метки легко привяжут к существующему профилю новый идентификатор.

Несмотря на то что подобное поведение не соответствует правилам Google Play, вовремя отловить злоупотребляющих идентификаторами разработчиков не так-то просто. Все приложения проверяют перед публикацией, но многие не совсем честные авторы успешно обходят эту проверку. Даже майнеры то и дело попадают в магазин — что уж говорить о программах, в которых нет откровенно вредоносных функций.

При этом просто запретить приложениям доступ к идентификаторам устройства Google не может: как мы уже говорили, их используют не только для рекламы. Лишая мобильные программы, например, возможности считывать Android ID, компания Google помешала бы разработчикам защищать свой продукт от нелегального копирования, а значит, нарушила бы их права.

Борьба с навязчивой рекламой

Конечно, Google не бездействует. Компания принимает меры, чтобы ограничить возможность злоупотребления идентификаторами. Например, начиная с Android Oreo тот же Android ID для каждого приложения задается свой, так что в глазах рекламной сети, полагающейся на этот ID вместо рекламного, ваш Instagram будет установлен на одном устройстве, а Snapchat — на другом.

Однако для IMEI, серийных номеров и MAC-адресов ввести такую защиту нельзя. Да и телефонов с более старыми версиями Android на рынке немало. Поэтому рекомендуем ограничивать сбор данных, грамотно управляя приложениями.

Что делать, если на Android нельзя установить сервисы Google Play

Покупая б/у-шный или новый китайский смартфон, будьте готовы к тому, что на нем может отсутствовать Плей Маркет и остальные сервисы Google. В таких случаях приходится производить инсталляцию программного обеспечения собственноручно. В этом нет ничего сложного, однако иногда возникают ситуации, когда подобный софт напрочь отказывается становиться на мобильное устройство. Давайте разберемся, что делать, если не устанавливается сервис Google Play на Андроид.

Способы устранения ошибки с инсталляцией Play Market

Проблемы с установкой сервисов Гугл Плей могут возникнуть по следующим причинам:

сбой в работе операционки;
использование неподходящей прошивки;
повреждение установочного файла APK;
неправильное удаление ранее имеющегося на гаджете Плэй Маркета;
воздействие вредоносного ПО.

Для устранения данных причин можно прибегнуть к таким методам:

Скачиванию другого установочного файла Play Market.
Сбросу системы до заводских настроек.
Нестандартной установке Гугл Плей.
Поиску и очистке устройства от остаточных файлов.
Повторной прошивке телефона (планшета).

Причиной ошибки также может быть единичный сбой в работе Андроида. Поэтому следующим вашим действием должна стать перезагрузка смартфона и повторная инсталляция сервиса Google. Если и это не помогло установить Плей Маркет, значит, проблема имеет более серьезный характер и бороться с ней нужно более радикальными методами.

Сброс системы до заводских настроек

Рассматривая, почему не устанавливается Плей Маркет на Android, следует отметить причину, кроющуюся в конфликте сервисов Google с имеющимся на девайсе софтом. Конфликтатором может выступать любая программа, размещенная на устройстве. В этом случае оптимальным решением проблемы является сброс ОС к заводским настройкам:

Откройте настройки гаджета и войдите во вкладку «Восстановление и сброс».
В появившемся окне запустите соответствующую процедуру.
Подтвердите свои действия, тапнув «Стереть все».
Попробуйте выполнить установку Play Market еще раз.

Hard Reset повлечет за собой стирание с телефона всех пользовательских данных. Поэтому предварительно всю важную информацию рекомендуется скопировать в надежное место (например, на ПК).

Нестандартная установка Google Play

Если после Hard Reset Плей Маркет так и не установился на смартфон, можно попробовать произвести загрузку нестандартным путем. Дело в том, что на китайских аппаратах может быть не предусмотрен сервис GApps. В этом случае обычная инсталляция не приведет к желаемому результату.

В качестве установщика будем использовать менеджер файлов Mobile Go. Порядок действий будет следующим:

Загружаем программу на ПК.
Ищем и скачиваем из сети такие файлы: GoogleServiceFramework.apk, GoogleLoginService.apk и Google Play.apk.
На мобильном устройстве активируем отладку по USB.
Подключаем к компьютеру проблемный гаджет и при необходимости ставим к нему драйвера.
Включаем Mobile Go. Переходим во вкладку My Device и активируем права суперпользователя.
В левом столбце переходим в раздел File, после чего открываем внутреннюю память телефона и ищем там каталог system.
Заходим в папку app и копируем туда ранее скачанные файлы APK, кликнув в верхней панели по кнопке Add. Пока Google Play устанавливается, телефон от ПК отключать категорически запрещается, так как это может повлиять на его дальнейшую работу.
Отсоединяем аппарат от компьютера и перезапускаем его.

После выполнения описанных действий Плей Маркет на Андроиде должен заработать.

Очистка мобильного устройства от остаточных файлов

Если телефон покупался с рук, то есть до вас им уже пользовались, не исключено, что бывший владелец ранее устанавливал на него Play Market. В этом случае удаление приложения перед продажей девайса могло быть выполнено неправильно или же не до конца, в результате чего в системе сохранились остаточные файлы. Именно они и могут стать причиной сбоя при повторной установке сервисов Гугл.

Обычно остаточные файлы прячутся в папке data. Так как она является системной, то доступ к ней возможен только при наличии у пользователя root прав. Кроме программы для рутирования, вам также понадобится файловый менеджер Root Explorer, который прекрасно работает с системными каталогами.

Подписи приложений использующих этот идентификатор не совпадают

Текущее время: 19 янв 2020, 01:42

Информация

Запрошенной темы не существует.

Подписи приложений использующих этот идентификатор не совпадают

Текущее время: 19 янв 2020, 01:42

Информация

Запрошенной темы не существует.

Подписи приложений использующих этот идентификатор не совпадают

В связи с этим вопрос, нельзя ли как-то разрешить испозльование нижнего подчеркивания сборщиком? Танцев с бубном можно было бы избежать.

Идентификатор пакета этого приложения не совпадает с идентификатором подписи кода

Я проверил сертификаты подписи, идентификаторы пакетов, профиль обеспечения, права и все правильно.

В итоге ошибка была вызвана Карфагеном .

После удаления и перестройки всех фреймворков это решило проблему.

Вы используете пользовательские файлы .xcconfig ?

Иногда пользовательские .xccofigs могут переопределить стандартные настройки кода.

2) Справа вы увидите настройки вашего проекта. Здесь вы можете установить идентификатор. Если нет, то вы ошибаетесь. Вот что вы должны увидеть:

4) Как только вы это сделаете, убедитесь, что в разделе «Настройки сборки», как показано ниже:

У активных пользователей всемирной сети скапливается множество логинов и паролей от разных сайтов. Их легко перепутать или потерять. Сберегательный банк России разработал новый сервис, чтобы пользователь автоматически авторизовывался с помощью единого логина и пароля. Идентификатор Сбербанк ID безопасен – его указывают на сайте финансового учреждения. На остальных данные шифруются.

Как работает Сбербанк ID

Идентификатор пользователя представляет собой 10 цифр. С их помощью осуществляют вход в личный кабинет Сберегательного банка. Кроме идентификатора нужен пароль для защиты личного кабинета от посягательств мошенников. В качестве шифра используют цифры и буквы латинского алфавита, а также некоторые символы.

Идентификационные сведения доступны клиентам Сбербанка, соответствующим требованиям:

Важно! «Мобильный банк» активируют после привязки пластиковой карточки к номеру сотового телефона.

Принцип работы Сбербанка ID прост для клиентов: не нужно придумывать множество паролей. Для сервисов Сбербанка и его партнёров вводят единый логин и пароль. Автозаполнение формы сэкономит время: на всех сайтах одни и те же данные подставятся автоматически.

Преимущества сервиса

Многие клиенты Сберегательного банка регулярно пользуются сразу несколькими сервисами. Благодаря Сбербанку онлайн ID все профили и личные кабинеты объединены в один для удобной и безопасной работы.

Не нужно при ознакомлении с очередной сбербанковской службой регистрироваться и тратить время на заполнение анкет, вписывая в них реквизиты.
Нет необходимости записывать и вспоминать большое количество данных для авторизации.
Использование одного и того же идентификатора на разных сайтах.

ID защищает персональные данные от мошенников.

Если есть профиль в системе «Сбербанк Онлайн», используя идентификатор пользователя, вы сможете получить доступ к разнообразным услугам и продуктам:

Прямо сейчас вы можете бесплатно подать заявку на займ, кредит или карту сразу в несколько банков. Предварительно узнать условия и рассчитать переплату на калькуляторе. Хотите попробовать?

Купить страховой полис.
Взять ипотечный кредит.
Оформить пластиковую карту на ребёнка.
Управлять будущими пенсионными накоплениями.
Оформлять налоговые вычеты.
Обращаться за профессиональной юридической помощью.

Важно! Логин и пароль от официального сайта Сбербанка используют в качестве основного идентификатора.

Как получить или узнать Сбербанк ID

Чтобы для Сбербанка ID получить идентификатор, пользуются несколькими способами: официальный сайт Сберегательного банка, банкомат, «Мобильный банк», звонок в службу поддержки банка.

На официальном сайте

Для получения идентификатора совершают переход на сайт финансового учреждения и проходят регистрацию, нажав соответствующую кнопку. Следуя подсказкам, выполняют дальнейшие действия. Для получения доступа в систему потребуется мобильный телефон и банковская карта. Обязательно подключить опцию «Мобильный банк». Она необходима для подтверждения действия по SMS по номеру 900.

Как проверить с помощью банкомата

При себе нужно иметь мобильный телефон и пластиковую карту. Чтобы узнать от Сбербанка ID действуют в 3 этапа:

Поместить банковскую карточку в банкомат.
Ввести PIN-код из четырёх знаков.
В появившемся меню выбрать категорию «Подключить Сбербанк Онлайн» и щёлкнуть на: «Получить логин и пароль».

Банкомат выдаст чек, где будут ваши персональные данные.

«Мобильный банк»

Звонок в службу поддержки Сбербанка

Важно! Нельзя давать никому (включая родственников) поручений узнать ваши данные для авторизации. Таким правом обладаете только вы. Не разглашайте третьим лицам, в том числе и сотрудникам банка, персональные данные и кодовое слово во избежание махинаций.

На каких сайтах работает идентификатор

Один логин и пароль от сервисов клиенты Сбербанка могут использовать на сайтах:

«ДомКлик» для оформления ипотеки.
«Сбербанк» для управления будущей пенсией.
Приложение «Сберкидс» для оформления пластиковой карты ребёнку.
«Личный юрист» для получения консультации.
Сервис «Возврат налогов» для возвращения части НДФЛ.

Опрос: довольны ли Вы качеством услуг предоставляемых Сбербанком в целом?

Как восстановить идентификатор пользователя

Для восстановления ID пользуются официальным сайтом Сберегательного банка или лично обращаются в офис, звонят в службу технической службы.

Чтобы получить новый ID в офисе банковского учреждения, необходим паспорт, банковская карта и секретный код. Обратитесь к специалисту с просьбой. Он выдаст выписку.

Позвонив в колл-центр, сообщите оператору информацию для установления личности и кодовое слово.

Читайте также: