Мобильные приложения под CS-Cart и их безопасность

rananev · 2022-04-25 11:49:50 UTC

Всем привет,

Готовлю статью про мобильные приложения и их безопасность, а чаще, увы, опасность. Собрал уже много примеров приложений с зарубежного рынка, но хочется еще посмотреть и на приложения в РФ.
В основном, буду смотреть на безопасность самого мобильного приложения и на частые проблемы реализации со стороны бэкэнда.

Поскидывайте, плиз, в тред ссылки на мобильные приложения к магазинам на CS-Cart, даже если они не ваши и вам они просто нравятся (но главное чтобы магазин был на CS-Cart), они все равно публичные И да, неважно – кастомное это какое-то приложение, сделанное “с нуля” под какой-то конкретный магазин, или массовое решение.

P.S. Если в вашем приложении будет найдена уязвимость (и вы подтвердите что приложение действительно ваше) – я вам сообщу об уязвимости и подскажу как исправить.

lojikam652 · 2022-04-25 13:28:59 UTC

Ради такой темы даже зарегистрировался, потому что давно этот вопрос назревал! Я вот сделал приложение через лейаут, а потом сделал на основе этого лейаута приложение из сайта, ну и в гуглплей выложил и работает так. Как на такое решение смотрите? Ссылку на приложение отправил вам в “Личные сообщения” на форуме.

rananev · 2022-04-25 15:12:33 UTC

Да, не сразу понял что такое “через лейаут”

Сделать обертку над сайтом с набором блоков прямо норм решение. У вас используется https://REDACTED.com/?platform=android&s_layout=12 (пример чтобы другие поняли про “леаутность”) и тут в целом то ничего не поломать, так как нет API, в котором и бывают проблемы.

Так что тут получится совсем немного из-за “леаутного приложения”

SSL используется Это усложнит Man-in-the-middle атаки, если какой-нибудь школьник захочет WiFi ломать или же провайдер будет пакостить
- а вот HSTS я бы рекомендовал включить в настройках CS-Cart “Settings > Security settings”, ну или сервером добавьте отдельно [включили с @lojikam652]
SSL-pinning не реализован, да, из-за LE у вас скорее не реализовать его таким простым способом как “создание приложения из сайта”. Но и в целом, если кто-то захочет отпиннить сертификат, то, скорее всего, добьется своего и знает зачем отпиннивать сертификат xD
Еще файлы всякие “полезные” лежат в корне магазина [удалили только что с @lojikam652]
Желательно обновить CS-Cart (тут прямо надо, да) и версию PHP можно

lojikam652 · 2022-04-25 15:23:16 UTC

Даааааааааааааа с dump.sql в корне очень тупо получилось, и ломать не пришлось Вот так думаешь про одно, а тут другое!!

А тут типа обновляться до версии старше 4.8.1, но пойду SP1 поставлю. Тут Роман дал ссылку https://simtechdev.com/cloud/wiki/news/4.8.1-service-pack-1/index.html

rananev · 2022-04-26 13:02:51 UTC

Есть еще у кого приложения мобильные?))

UPD (28 apr 2022). Реально больше ни у кого нет мобильных приложений?

redrikshukhart · 2022-04-28 16:18:00 UTC

Неа… хотелось, но нет. А что за вариант приложений на лейаутах? Это как-то несложно можно и самостоятельно реализовать не слишком глубоко углубляясь в мобильную разработку?

z3r0 · 2022-04-28 18:56:14 UTC

Это не приложение, это просто мобильный шаблон получается, потом делается приложение браузер для сайта и все.

rananev · 2022-04-28 19:14:56 UTC

Да, алгоритм прост

Через https://docs.cs-cart.com/latest/designer_guide/layout.html делаешь набор блоков как хочешь чтбы было в мобильной версии
Потом делаешь на основе этого шаблона сайт (гугл: сделать приложение из сайта), вставляя ссылку на этот лейаут как ссылку на сайт
Грузишь в аппстор и гуглплей
Профит

Честно – красивое решение, я раньше не сталкивался с таким)))

P.S. Хмммм , а что если попробовать прикрутить к такому шаблону поддомен с проксированием и редиректом для мобильных юзерагентов? Наверное, можно попробовать сделать “мобильную версию” сайта. Поэкспериментирую на праздниках

lojikam652 · 2022-04-28 19:31:25 UTC

Да, алгоритм такой, мы делали первую версию через appmaker.xyz. Но смотрите App Store не пропустил такое наше приложение, а в Google Play Store без проблем загрузилось. Потом мой разработчик сделал какое-то “свое решение” по аналогии, но пришлось самим приделывать нотификации, и только потом App Store принял приложение. Почему так было они не сказали, хотя было то же самое, но сказали что приложение не может быть полной копией сайта и это что-то еще нарушает в их правилах. Мы подумали что это из-за конструктора приложений именно был отказ в первый раз.

lojikam652 · 2022-04-28 19:40:31 UTC

Мы когда приложение делали старались сделать так, чтобы отправлять пуш нотификации и поднимать количество повторных покупок, но заставить покупателя ставить приложение очень сложно оказалось. По аналитике мы смотрим все просто закрывают нотификацию, наверное, потому что не видят ценности отдельного приложения, а у нас текстиль и мало кто покупает снова, не часто. Сейчас думаем над хорошей мобильной версией сайта, но дорого получается когда спрашивали.

z3r0 · 2022-04-29 17:40:42 UTC

CP лет 5 или даже больше делали модуль который layout подгружает специально для мобильных другой, тогда были еще такие времена блоки не убирались, а АВ еще даже не выпустили Юни.
Как написали ниже, приложение реально поставить человека надо мотивировать, а потом еще мотивировать чтобы он им пользовался, а не сайтом.