V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
vulgur
V2EX  ›  程序员

独立开发周记 #30:中间人攻击

  •  
  •   vulgur ·
    vulgur · 2023-09-11 21:13:42 +08:00 · 1808 次点击
    这是一个创建于 472 天前的主题,其中的信息可能已经有所发展或是发生改变。

    2023, 0904-0910

    估计是新冠后遗症的原因,身子总是没劲,只想躺着。躺着的时候要么看剧,要么就是刷抖音,导致抖音的使用时长远超其他 app 。本来抖音在我这是放在购物分类里的,之前只有想买的东西时才会打开,现在居然沉迷各种短视频了……删掉!

    吃东西只能尝出来咸淡和一点点的甜味,咖啡还是喝不出味道,每天喝咖啡只是为了不出现戒断反应。

    开学啦!

    上个月国内安卓收入下降太多了,我估计是因为暑假的原因。现在已经开学一个多星期了,从活跃用户和新增用户数量上来看,确实有些回升。

    RevenueCat

    这周极简时钟和极简日记都更新了一个版本,主要目的也都是一样,为了防御中间人攻击。

    中间人攻击

    通过开发者朋友那里才知道,居然有一个微信小程序,专门分享破解内购的脚本,极简时钟和极简日记都名列其中……RevenueCat 推出针对中间人攻击的防范方法已经有两个月了,但是我都没当回事,直到群友提醒,才后知后觉,也不知道累计了多少损失。

    亡羊补牢,为时未晚。

    极简时钟的更新很简单,就是添加了一行代码。极简日记的更新麻烦了一些,支持防御中间人攻击的 RevenueCat SDK 最低版本是 4.25 ,而极简日记里的还是 3.x ,所以还写了很多从 3.x 升级到 4.x 的代码。

    Paywalls

    在升级 RevenueCat 的 SDK 时,发现 SDK 里多了一个 RevenueCatUI 的库,原来是 RC 提供了一个 Paywall 的功能。

    RC 的 Paywall 有三个模板,整体的风格都很简洁。Paywall 对于内购和订阅产品的配置很丰富,但是对于页面其他信息的配置就很少了。我试用了三天,最后还是放弃了,因为 RC 的 Paywall 还在 beta 阶段,我就碰到了好几次弹出加载图片错误的提示。

    今年的 WWDC23 也推出了类似的功能,在 StoreKit 里增加了 StoreViewProductViewSubscriptionStoreView 。对应的 Session 是 Meet StoreKit for SwiftUI,我这周又看了一遍,感觉配置起来太麻烦了,需要重写整个产品页面,于是就打消了在 iOS 17 正式版上线前加入这个功能的念头。

    能不改的就先不改,又不是不能用。

    一些杂事

    • 王国之泪通关了,解决了心理一大负担。
    • 因为经济普查,去社区做了登记。明明是线上就能解决的事,非要线下跑一趟。
    • 酱香拿铁至今没有喝,一是因为我不喝任何酒,二是因为这款咖啡不是 9.9 元。
    • 发现了一个 UI/UX 和极简日记高度相似的新 App ,第一感觉当然是不爽,第二感觉就是立志要做得比抄袭者更好,让抄袭者遥遥落后。
    • 在即刻上发了一条评论时下新闻的动态,没想到被人各种阴阳,还给我扣上了一个带节奏的帽子。现在这个舆论环境啊,还是老老实实发些人畜无害的东西吧。
    • 上周投诉名称侵权的三个 app ,刚上架的那个已经回复邮件并且改名了,另外两个久不更新的 app 还没有回复邮件,估计已经弃管了。因为这个事,我被很多人说不厚道、是小人行为、是商标流氓、not cool ,对于这些评论我都接受。也有人列举了一些客观事实,我也都承认。但是我有我自己的理由,在商言商,合规合法,仅此而已。

    引用链接

    3 条回复    2023-09-11 21:48:38 +08:00
    rekulas
        1
    rekulas  
       2023-09-11 21:18:38 +08:00
    不太明白攻击这种日记闹钟 app 是想获得什么信息
    vulgur
        2
    vulgur  
    OP
       2023-09-11 21:21:24 +08:00
    @rekulas 解锁内购
    Jirajine
        3
    Jirajine  
       2023-09-11 21:48:38 +08:00 via Android
    所谓“中间人攻击”抓包、审查用户传输了哪些数据,信任哪些证书都是用户的正当权利。
    授权验证应该通过签名的方式实现。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5453 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 01:30 · PVG 09:30 · LAX 17:30 · JFK 20:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.