Android Guards. История создания, развития и первый meetup

af3507351472cc28cef761420b767b70.png?v=1

Привет Хабр!

На связи маленькое, но гордое сообщество людей делающих android-приложения безопаснее. Нашему сообществу в этом году исполнилось 3 года и было решено подвести некоторые промежуточные итоги, рассказать, как создавалось наше сообщество и поделиться дальнейшими планами. Ну и конечно же, сделать анонс нашего первого митапа.

Однажды ночью, я написал в телеграм чат своему товарищу следующее (ниже будет не слишком литературный язык)

Короч, телеграм стал популярным (ваш кэпетан) и всякие люди тут создают всякие чатики да еще и вдобавок всякие каналы. Короче полный трэш, угар и каматоз =) Решил и я не отставать от мирового прогресса (или деградации?) и запилить свой чатик. Тематика: андройдный инфобез в целом или же просто ревес. Я пока не решил. Но пришел я к тебе не с этим. Хочу твоё мнение:, а надо ли оно вообще весь этот геморрой?)

14.06.2017

После этого было немного обсуждений, но в итоге, несмотря на все предостережения со стороны товарища я пошел и создал тот самый чат, которого мне так не хватало в свое время. Потом я пригласил туда несколько своих знакомых и… на текущий момент нас 700+ человек. Но это было сильно позже. Да и вообще у чата не было какого-то взрывного роста. Видимо слишком узкая тема. Я рассказывал про него на конференциях, активно участвовал в обсуждениях и чат постепенно прирастал новыми людьми.

Джон: Всем привет. Есть ли какой-нибудь смысл просить приложить палец при активации входа в приложение по touch id? Просто сейчас попалось приложение, которое этого не требует, и у меня скрипт в голове сломался

Майк: Eсть два варианта реализации входа по отпечатку — с помощью симметричного ключа и с помощью ключевой пары. В первом случае при подключении входа по биометрии палец нужно прикладывать для разблокировки ключа и шифрования на этом ключе токена авторизации. Во втором не надо, т.к. шифрование происходит на открытом ключе. Либо это может быть уязвимая реализация вообще без шифрования

Джон: Спасибо большое за развернутый ответ)

Стоит сказать, что я люблю делиться всякой информацией, которую считаю полезной или важной. И я периодически скидывал в чат всякие ссылки, файлы и веселые картинки. В какой-то момент я понял, что это все теряется в недрах чата и мне самому тяжело потом эти материалы искать. Так родилась следующая идея — сделать канал и связать его с этим чатом. Спасибо Паше, пока что это бесплатно. Канал я стал использовать сначала для ссылок и всякого подобного, а потом решил закидывать туда, то, что принято называть «авторский контент».

Google наконец-то расчехлился на официальный гайд по шифрованию данных с помощью Jetpack Security. Мы получили более-менее разумное описание с интересными подробностями. В частности показано как связать это с BiometricPrompt. А еще стало известно «официальное» сокращение названия этой библиотеки — JetSec. Это сделает нашу жизнь в два раза лучше;) В конце статьи есть ссылка на исходники приложения, которое показывает как пользоваться шифрованием файлов c помощью Jetpack Security.

#jetpack_security, #google, #4developers, #cryptography

https://t.me/androidguardstoday/7

​​Стартую новую рубрику «Чердачок Брюса Шнайера» в ней буду писать всякое про криптографию и пробовать приземлять это на Android-реальность.

Выпуск №1 «Самые базовые понятия»

В криптографии, как в и любой другой области знаний есть свой язык и даже свой жаргон. Не зная его, порой тяжело понимать разные важные концепции, которые можно встретить в статьях и докладах. Сегодня поговорим про самые базовые понятия, которые для кого-то могут показаться очевидными, но без них невозможно двигаться дальше.

Криптография обычно оперирует двумя сторонами — «отправитель» и «получатель» которые передают друг-другу «сообщения». Чуть позже мы дадим имена этим безликим сторонам. При этом, обе стороны хотят обеспечить секретность своих сообщений и быть уверенными, что «перехватчик» не сможет их прочитать.

Сообщения принято называть открытым текстом (plaintext), а процесс маскировки сообщения называют шифрованием (encryption). Зашифрованное сообщение называется шифротекст (ciphertext), а процесс преобразования шифротекста обратно в открытый текст называется расшифровкой (decryption)

Хозяйке на заметку: В соответствии со стандартом ISO 7498–2 в англоязычных текстах используются термины enchiper вместо encrypt и decipher вместо decrypt. Видимо, это объясняется тем, что в некоторых культурах термины encrypt и decrypt ассоциируются со словом crypt (склеп).

#ЧБШ

https://t.me/androidguardstoday/59

Но потом мне и этого формата стало не хватать и я решил сделать еще и канал на YouTube (а также инстаграм, фейсбук и аккаунт в одноклассниках). И теперь, кажется, у меня есть все необходимые инструменты, чтобы доносить людям полезную информацию. При чем работает это и в обратную сторону. Я часто узнаю что-то новое для себя.

Ну и следующим шагом на этом пути стал митап, который я задумал сделать. Об этой идее я хочу рассказать чуть подробнее.

Meetup #1

Первое и самое важное — митап будет полностью бесплатным и пройдет в online формате. Ситуация в стране и в мире сами знаете какая, поэтому пока будем встречаться в таком формате.

Вообще есть желание сделать такие митапы регулярными, но это все пока в планах. Для начала нужно провести первый и чтобы он получился действительно крутым, нужен хороший контент. Поэтому если вам есть что рассказать на тему безопасности android-приложений/ОС, то заполните вот эту форму, и я буду рад включить ваш доклад в программу митапа.

Вторая большая цель, которую я преследую запуская эти митапы — помощь неопытным докладчикам стать более опытными. Поэтому если вы никогда не делали публичные доклады и подаваться сразу на ZeroNights, PHDays или OFFZONE вам страшно, то можно выступить на этом митапе. Я со своей стороны помогу советами как сделать доклад лучше.

Сам митап пройдет в первых числах ноября. Точные даты будут позже, следите за анонсами в канале Android Guards.

© Habrahabr.ru