Ситуационный вопрос: пентест нашел access token в логах приложения. Как вы будете действовать?

FlutterLead/Architect: выбирает стратегию для команды, масштабирует архитектуру и управляет рискамиSecurityТеорияfluttermobile-securitysecuritytlstokens

Что хотят услышать интервьюеры:

Ситуация: пентест нашел access token в логах приложения.

Ответ:

План действий:

  • воспроизвести проблему и зафиксировать входные данные
  • проверить lifecycle, состояние, ошибки и зависимости
  • применить Security: tokens, TLS и secure storage только там, где он решает причину, а не симптом

Что сказать интервьюеру: сначала диагностирую, затем предлагаю минимальное исправление, после этого добавляю тест или мониторинг. Риск: считать obfuscation полной защитой.

Источники

Похожие вопросы

Security Что нужно знать про Security: tokens, TLS и secure storage во Flutter/Dart? Security Чем Security: tokens, TLS и secure storage отличается от obfuscation? Security Как бы вы применили Security: tokens, TLS и secure storage в production-приложении и какие компромиссы учли бы? Storage Чем flutter_secure_storage отличается от shared_preferences?