быдло.jazz
@tvoijazz
Во-вторых, это очень крутая задумка. А во-первых, будет небольшой ликбез.
Я часто упоминаю в канале что-нибудь связанное с использованием PWA-приложений или софта по типу Native Alpha или WebSpace. Потому что имею твердое убеждение: там где можно обойтись без установки кучи стороннего проприетарного кода на устройство, лучше так и поступить.
PWA (Progressive Web App) - это сайт, который ведёт себя как нативное приложение: устанавливается на домашний экран, работает офлайн через Service Worker, может слать push-уведомления и тд.
Технически это всего лишь веб-страница - браузер сам создаёт ярлык и крутит всё внутри своего UID.
В случае с PWA, основная поверхность атаки равна уязвимости используемого браузера.
WebSpace или аналог - это один Flutter-контейнер, который держит все нужные сайты внутри себя как организованные вкладки/коллекции. То есть это PWA наоборот: вместо ярлыка в браузере или раздутого standalone-APK, единое приложение-агрегатор с упором на приватность.
В данном случае основная поверхность атаки - системный движок WebView и его настройки.
В случае с закрытым проприетарным приложением, например с Max'ом - весь код приложения является "черным ящиком" и может служить поверхностью атаки. В том числе и со стороны самих разработчиков.
В двух первых случаях использование вместо обычного приложения имеет смысл только если вы используете защищенный браузер/webview с нужными флагами в файлах конфигурации и тд., а это в свою очередь требует или слепого доверия к ним, или userdebug-прошивки и root.
Использование отдельного готового приложения подразумевает что вы доверяете разработчику этого приложения или, как минимум, переписали манифест/порезали пермишены/отключили компоненты, используете изолированно от доверенных приложений с чувствительными данными и тд..
Все это удел гиков, параноиков и учеников дяди Джаза.
Для всех остальных вполне себе интересный компромисс.
https://github.com/shiahonb777/web-to-app
WebToApp - это, простым языком, open-source Android-приложение, которое собирает APK из сайтов/страниц, которые вы ему укажете.
Вот прям берете сайт и делаете из него апку в нужной конфигурации.
Каждый собранный APK получает богатую конфигурацию: блокировка рекламы/трекеров, DNS-over-HTTPS, прокси, выбор runtime-permissions и проч. Настроек реально много. Ничего не стоит взять сайт и сделать из него приложение для онлайн прослушивания и загрузки аудиокниг, ограничить в разрешениях, отключить рекламу и трекеры. С Max'ом играйтесь самостоятельно, мне оно не нужно ни в каком виде.
Софт имеет и другие не менее интересные функции, которые в данный пост не влезут при всем моем желании. И да, вам по-прежнему нужен надежный WebView с актуальными патчами, если не похер на данные, которые будут проходить через созданное через этот софт приложение.
Я часто упоминаю в канале что-нибудь связанное с использованием PWA-приложений или софта по типу Native Alpha или WebSpace. Потому что имею твердое убеждение: там где можно обойтись без установки кучи стороннего проприетарного кода на устройство, лучше так и поступить.
PWA (Progressive Web App) - это сайт, который ведёт себя как нативное приложение: устанавливается на домашний экран, работает офлайн через Service Worker, может слать push-уведомления и тд.
Технически это всего лишь веб-страница - браузер сам создаёт ярлык и крутит всё внутри своего UID.
В случае с PWA, основная поверхность атаки равна уязвимости используемого браузера.
WebSpace или аналог - это один Flutter-контейнер, который держит все нужные сайты внутри себя как организованные вкладки/коллекции. То есть это PWA наоборот: вместо ярлыка в браузере или раздутого standalone-APK, единое приложение-агрегатор с упором на приватность.
В данном случае основная поверхность атаки - системный движок WebView и его настройки.
В случае с закрытым проприетарным приложением, например с Max'ом - весь код приложения является "черным ящиком" и может служить поверхностью атаки. В том числе и со стороны самих разработчиков.
В двух первых случаях использование вместо обычного приложения имеет смысл только если вы используете защищенный браузер/webview с нужными флагами в файлах конфигурации и тд., а это в свою очередь требует или слепого доверия к ним, или userdebug-прошивки и root.
Использование отдельного готового приложения подразумевает что вы доверяете разработчику этого приложения или, как минимум, переписали манифест/порезали пермишены/отключили компоненты, используете изолированно от доверенных приложений с чувствительными данными и тд..
Все это удел гиков, параноиков и учеников дяди Джаза.
Для всех остальных вполне себе интересный компромисс.
https://github.com/shiahonb777/web-to-app
WebToApp - это, простым языком, open-source Android-приложение, которое собирает APK из сайтов/страниц, которые вы ему укажете.
Вот прям берете сайт и делаете из него апку в нужной конфигурации.
Каждый собранный APK получает богатую конфигурацию: блокировка рекламы/трекеров, DNS-over-HTTPS, прокси, выбор runtime-permissions и проч. Настроек реально много. Ничего не стоит взять сайт и сделать из него приложение для онлайн прослушивания и загрузки аудиокниг, ограничить в разрешениях, отключить рекламу и трекеры. С Max'ом играйтесь самостоятельно, мне оно не нужно ни в каком виде.
Софт имеет и другие не менее интересные функции, которые в данный пост не влезут при всем моем желании. И да, вам по-прежнему нужен надежный WebView с актуальными патчами, если не похер на данные, которые будут проходить через созданное через этот софт приложение.
180 2.4K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram