Нужна ли captcha в мобильном приложении?

Question

[Антон Молокоедов]

Есть мобильное приложение (точнее, два — для Android и iOS) в котором есть функция создания аккаунта пользователя. Сейчас там есть поля ввода имейла и пароля, а также капча. Но нужна ли она вообще? Существуют ли боты, которые могут отправлять автоматизированные запросы через мобильное приложение?

Answer 1

[Alexander]

существуют сниферы/прокси, которые могу посмотреть что отправляет ваше приложение. После этого можно точно такие же запросы отправлять уже чем угодно. Если у вас не миллионная аудитория, то можно обойтись SSL + certificate pinning, если миллионная то можно и капчу добавить, но она не сильно поможет если взломали SSL + certificate pinning, то капча будет меньшей из проблем.

Comments

[Chvalov]

Alexander Невижу никаких проблем, тем более на хабре уже и туториал есть https://habrahabr.ru/post/307774/

[Alexander]

Chvalov: да я в курсе, почитайте комментарии к последнему посту ) Для iOS это сделать сложнее, нужен jail, и чтобы приложение работало как минимум на iOS 8, потому как твика для отключения certificate pinning на iOS 9 нет.

Answer 2

[Алексей Скобкин]

Что мешает достать из вашего приложения данные API и использовать их для массовой регистрации?

Comments

[Антон Молокоедов]

Собственно, достать каким образом?

[Алексей Скобкин]

Антон Молокоедов: Декомпилировав приложение или использовав сниффер, например.

Answer 3

[Сергей Зеленский]

нет не нужна, существуют, почитайте про двухфакторную аутентификацию

Answer 4

[Rou1997]

Готовых не существует, но по принципам клиент-серверной архитектуры абсолютно любой клиент можно "подделать" с помощью сниффинга + реверс-инжиниринга оригинала, но это недешево и нелегко, вряд ли кто-то будет заниматься, пока приложение не наберет популярность, поэтому не торопитесь.

Comments

[Alexander]

это дешево и легко
https://habrahabr.ru/post/223561/ для iOS нужен jailbreak
habrarchive.info/2016/08/15/analiz-trafika-android... - для андроид вообще все элементарно

[Rou1997]

Alexander: Мне за 1500 рублей не выполнили тестовое задание, специально придумал простейшее задание, дял готового API крупной социальной сети без всякого анализа и подделки запросов, все равно кинул редиска противная, значит со сниффингом у них раз в 10-20 дороже, и то не факт.

[Alexander]

Rou1997: имеется ввиду стоимость для разработчика iOS/Android, какая цена называется клиенту тут ни при чем, я бы за секретный ключ VK APP или описание их приватного stiker API взял бы минимум $100

[Rou1997]

Alexander: Как ни при чем, именно она определяет спрос, нет спроса - не будут и работать с этим.

[Alexander]

Rou1997: как видите вас обманули на 1500р, все потому что нормальный специалист за такие деньги работать не будет. Цену определяет и спрос и предложение, а не только лишь спрос.

[Rou1997]

Alexander: Ну значит не дешево, что и требовалось доказать.