книги хакеры / журнал хакер / 180_compressed
.pdf
50 |
PC ZONE |
ХАКЕР 01 /180/ 2014 |
|
|
|
|
|
om |
|
|
|
|
c |
|
|
|
|
r |
|
|
|
|
e |
|
|
|
|
ck |
|
|
|
|
|
fli |
|
|
|
|
|
@ |
|
|
|
|
on |
|
|
|
|
|
sj |
|
|
|
|
|
ХАКЕР 01 /180/ 2014 |
Беспредел в песочнице |
51 |
Можно бесконечно смотреть на огонь, воду и активность программ, изолированных в песочнице. Благодаря виртуализации ты одним кликом можешь отправить результаты этой деятельности — зачастую небезопасной — в небытие.
|
прочем, |
виртуализация при- |
||
|
меняется и в исследователь- |
|||
|
ских целях: например, захоте- |
|||
|
Влось тебе проконтролировать |
|||
|
воздействие |
свежескомпилированной |
||
|
программы на систему или запустить |
|||
|
две разные версии приложения одно- |
|||
|
временно. Или |
создать |
автономное |
|
|
приложение, которое не будет остав- |
|||
Илья Муравьёв |
лять следов |
в |
системе. |
Вариантов |
iliamr v.com |
применения песочницы — множество. |
|||
|
Не программа диктует свои условия |
|||
|
в системе, а ты ей указываешь дорогу |
|||
|
и распределяешь ресурсы. |
|
||
|
|
|
|
|
Sandboxie
Сайт: sandboxie.com |
Разработчик: Sandboxie Holdings LLC |
Лицензия: shareware 15 € |
|
|
|
Sandboxie — это, безусловно, классика жанра. С помощью этой программы ты можешь не только изолировать деятельность приложений, но и обезопасить интернет-активность и улучшить приватность.
Вначале создается песочница и определяются настройки окружения, где будут пресмыкаться программы. Песочниц может быть
сколько угодно, с различным набором приложений и конфигураций. Тебе подвластны распределение прав доступа, настройка исключений, распределение ресурсов, поведение Sandboxie при завершении активности приложения и прочее.
Внутренний мир песочницы легче понять, очутившись внутри ее. Перетащи текстовый редактор в песочницу и попробуй сохранить файл с текстом на рабочем столе — Sandboxie перехватывает запрос и предлагает действие с сохраняемым файлом на выбор. Через настройки ты можешь заранее указать папки и файлы, которые подлежат быстрому или немедленному (то есть автоматическому) восстановлению. Файлы из песочницы могут быть удалены после завершения эмуляции — соответственно, смотри раздел «Удаление».
Управление Sandboxie вполне интуитивно, тебе не нужно вспоминать, добавил ты программу в песочницу или нет. Достаточно взглянуть на окно приложения: если оно помечено индикатором [#] в заголовке, имеет окантовку желтого цвета — значит, все под контролем Sandboxie.
Ты можешь прикрыть доступ к файлам, окнам, реестру, процессам, портам, сети и прочим лакомым ресурсам, а затем указать группы программ, для которых будут применяться соответствующие ограничения. Более того, о тебе уже позаботился разработчик, составив правила доступа для популярных приложений. Зайди в раздел «Приложения» и выставь настройки для знакомой тулзы, благо что здесь есть интернет-софт, утилиты и менее жадные к ресурсам представители. Немаловажно отметить, что Sandboxie располагает списком опций для популярных антивирусов и файрволов, это поможет избежать конфликтов, при их известной взаимной ненависти.
В Sandboxie обнаруживается очень полезный инструмент — монитор доступа к ресурсам. Посредством его ты можешь отследить запросы приложения к ресурсам. Эта информация нужна как для собственно контроля, так и для составления пользовательских правил блокировки.
Для тех, кто в Windows 8.1: придется подождать очередного обновления программы, с этой ОС Sandboxie на момент написания статьи не дружила.
Shadow Defender
Сайт: shadowdefender.com/index.html |
Разработчик: shadowdefender.com |
Лицензия: shareware 35 $ |
|
|
|
Shadow Defender, одна из ближайших альтер- |
Можно включить автоматический переход в те- |
мять, а по исчерпании ее резервов — на диск. |
натив Sandboxie, предлагает пользователю |
невой режим при загрузке. |
Для пущей безопасности предусмотрено шиф- |
запускать программы в «теневом режиме». |
Из других опций обрати внимание на кеши- |
рование кеша. |
Естественно, как ни называй, это все та же |
рование: изменения будут записываться в па- |
Со всеми изменениями в процессе экс- |
песочница. Настроив Shadow Defender, ты мо- |
|
плуатации приложения можно ознакомиться |
жешь доверить машину другому пользователю |
|
в разделе Commit Now. Есть два способа при- |
или самостоятельно поглумиться над систе- |
|
нять изменения — прямо в этом разделе либо |
мой — после перезагрузки она предстанет пе- |
|
контекстное меню. |
ред тобой в первозданном виде. Конечно, если |
|
Как альтернативу этой проге можно посове- |
Shadow Defender не сдаст свой пост. |
|
товать Deep Freeze (faronics.com/en-uk/) или |
Shadow Defender гораздо проще Sandboxie. |
|
ToolWiz Time Freeze (toolwiz.com). Последний |
Тебе достаточно отметить «теневые» разделы |
|
вариант будет попроще в настройках и нагляд- |
жесткого диска (Mode Setting) и определить |
|
ней: с уведомлениями на рабочем столе. Иначе |
список исключений файлов и ключей реестра |
|
бывает сложно вспомнить, в песочнице ты сей- |
через разделы File и Registry Exclusion List. |
|
час или вылез из нее. |
52 PC ZONE ХАКЕР 01 /180/ 2014
VMware ThinApp
Сайт: vmware.com/products/thinapp |
Разработчик: VMware, Inc. |
Лицензия: shareware, рассчитывается инди- |
|
|
видуально (bit.ly/1aCA27v) |
|
|
|
ThinApp от небезызвестной тебе VMware пред- |
Теперь нужно указать пользовательскую |
умеется, это наложит свой отпечаток на ско- |
ставляет собой мощный инструмент для изо- |
директорию, куда прога будет записывать из- |
рость работы. VMware ThinApp и без того не- |
ляции, обеспечения безопасности, а также |
менения. Все служебные файлы песочницы |
слабо грузит системные ресурсы, причем |
создания мобильных (то есть портативных) |
также будут храниться в этой папке. Удалив их, |
не только в режиме сканирования. Однако, |
приложений. |
ты вернешь песочницу к ее исходному состо- |
как говорится, медленно, но верно. |
Механизм работы похож на описанные про- |
янию. Если разместить песочницу в сетевой |
|
граммы: ты делаешь снимок системы, устанав- |
папке, можно будет дать к ней общий доступ. |
|
ливаешь программу, запускаешь и настраива- |
Наконец, завершающая стадия — созда- |
|
ешь ее, сверяешь изменения и на их основе |
ние установочного MSI-пакета. Более тонкие |
|
создаешь среду для запуска софта. Особен- |
настройки можно задавать через внешний |
|
ность VMware ThinApp в том, что ты тщательно |
конфиг Package.ini и макросы (актуальный ма- |
|
контролируешь процесс от начала и до конца, |
нуал ищи здесь: vmware.com/pdf/thinapp50_ |
|
начиная с предварительного сканирования. |
manual.pdf). |
|
На этом этапе ты указываешь диски и разде- |
Если тебя не устраивает медлительность |
|
лы реестра для анализа. После сканирования |
процесса, с помощью тулзы ThinApp Converter |
|
можно создать группу для запуска приложений |
ты можешь поставить виртуализацию на поток. |
|
(с поддержкой Active Directory) и режим изо- |
Инсталляторы будут создаваться на основе |
|
ляции: |
указанного тобой конфига. |
|
• Merged Isolation Mode — возможность |
Вообще, разработчики советуют произво- |
|
чтения и записи вне виртуального окруже- |
дить все указанные препарации в стерильных |
|
ния; |
условиях, на свежей ОС, дабы все нюансы |
|
• WriteCopy isolation mode — операции |
установки были учтены. Для этих целей можно |
|
записи перенаправляются в песочницу. |
использовать виртуальную машину, но, раз- |
|
BufferZone
Сайт: trustware.com |
Разработчик: Trustware |
Лицензия: freeware |
|
|
|
BufferZone контролирует интернет- и про- |
убить систему, после чего ее придется удалять |
временных браузерах имеются встроенные |
граммную активность приложений с помощью |
через безопасный режим. Виной тому драйве- |
средства для обеспечения анонимности. |
виртуальной зоны, вплотную приближаясь |
ры BufferZone, которые вступают в нешуточный |
В разделе Policy настраивается политика |
к файрволам. Другими словами, здесь приме- |
конфликт с ОС. |
по отношению к установщикам и обновлениям, |
няется виртуализация, регулируемая с помо- |
То, что попадает под радар BufferZone, |
а также программам, запущенным с устройств |
щью правил. BufferZone легко срабатывается |
можно отследить в главном разделе Summary. |
и сетевых источников. В Configurations также |
в связке с браузерами, мессенджерами, по- |
Число ограниченных приложений ты опреде- |
смотри дополнительные опции политики без- |
чтовыми и P2P-клиентами. |
ляешь сам: для этого предназначен список |
опасности (Advanced Policy). Имеется шесть |
На момент написания статьи разработчи- |
Programs to run inside BufferZone. В него уже |
уровней контроля, в зависимости от чего ме- |
ки предупреждали о возможных проблемах |
включены потенциально небезопасные прило- |
няется отношение BufferZone к программам: |
при работе с Windows 8. Программа способна |
жения вроде браузеров и почтовых клиентов. |
без защиты (1), автоматический (2) и полуавто- |
|
Вокруг окна захваченного приложения появля- |
матический (3), уведомления о запуске всех (4) |
|
ется красная рамка, что придает уверенность |
и неподписанных программ (5), максимальная |
|
при безопасном серфинге. Хочешь запустить |
защита (6). |
|
вне зоны — без проблем, контроль можно |
Как видишь, ценность BufferZone состо- |
|
обойти через контекстное меню. |
ит в тотальном интернет-контроле. Если тебе |
|
Помимо виртуальной зоны, есть такое по- |
нужны более гибкие правила, то любой файр- |
|
нятие, как зона приватная. В нее можно доба- |
вол тебе в помощь. В BufferZone он также есть, |
|
вить сайты, на которых требуется соблюдать |
но больше для галочки: позволяет блокировать |
|
строжайшую конфиденциальность. Сразу |
приложения, сетевые адреса и порты. С прак- |
|
нужно отметить, что функция работает только |
тической точки зрения он малоудобен для ак- |
|
в Internet Explorer ретро-версий. В более со- |
тивного обращения к настройкам. |
BufferZone контролирует интернет-
и программную активность приложений с помощью виртуальной зоны, вплотную приближаясь к файрволам
ХАКЕР 01 /180/ 2014 |
Беспредел в песочнице |
53 |
Evalaze
Сайт: evalaze.de/en/evalaze-oxid/ |
Разработчик: D gel GmbH |
Лицензия: freeware / commercial 2142 € |
|
|
|
Главная фишка Evalaze заключается в гибкости виртуализированных приложений: их можно запускать со сменных носителей или из сетевого окружения. Программа позволяет создавать полностью автономные дистрибутивы, функционирующие в эмулированной среде файловой системы и реестра.
Главная особенность Evalaze — это удобный мастер, который понятен без чтения мануала. Вначале ты делаешь образ ОС до установки программы, затем инсталлируешь ее, производишь тестовый запуск, настраиваешь. Далее, следуя мастеру Evalaze, анализируешь изменения. Очень напоминает принцип работы деинсталляторов (например, Soft Organizer: chemtable.com/ru/soft-organizer.htm).
Виртуализированные приложения могут работать в двух режимах: в первом случае опе-
рации записи перенаправляются в песочницу, во втором программа сможет записывать и читать файлы в реальной системе. Будет ли программа удалять следы своей деятельности или нет — решать тебе, опция Delete Old Sandbox Automatic к твоим услугам.
Множество интересных фич доступно только в коммерческой версии Evalaze. Среди них — редактирование элементов окружения (таких как файлы и ключи реестра), импорт проектов, настройка режима чтения. Однако лицензия стоит больше двух тысяч евро, что, согласись, несколько превышает психологический ценовой барьер. По аналогично неподъемной цене предлагается использование сервиса онлайнвиртуализации. В качестве утешения на сайте разработчика есть заготовленные виртуальные приложения-образцы (bit.ly/1cZphyZ).
Cameyo
Сайт: cameyo.com |
Разработчик: Cameyo |
Лицензия: freeware |
|
|
|
Беглый осмотр Cameyo наводит на мысль, |
ми после установки софта и создает экосисте- |
ложения: удаление следов, без очистки и за- |
что функции аналогичны Evalaze и ты в три кли- |
му для запуска. |
пись изменений реестра в файл. Доступна |
ка можешь «слепить» дистрибутив с виртуали- |
Важнейшее отличие от Evalaze состоит |
также интеграция с проводником и возмож- |
зированным приложением. Упаковщик делает |
в том, что программа полностью бесплатна |
ность привязки к конкретным типам файлов |
снимок системы, сравнивает его с изменения- |
и не блокирует ни одной опции. Настройки |
в системе, чего нет даже в платных аналогах |
|
удобно сосредоточены: переключение спосо- |
Cameyo. |
|
ба виртуализации с сохранением на диск или |
Однако самое интересное — это не ло- |
|
в память, выбор режима изоляции (сохранение |
кальная часть Cameyo, а онлайн-упаковщик |
|
документов в указанные директории, запрет |
(online.cameyo.com/submit.aspx) и публич- |
|
на запись или полный доступ). Вдобавок к это- |
ные виртуальные приложения (online.cameyo. |
|
му можешь настроить виртуальную среду с по- |
com/public). Достаточно указать URL или, на- |
|
мощью редактора файлов и ключей реестра. |
пример, закинуть MSI или EXE-инсталлятор |
|
Каждая папка также имеет один из трех уров- |
на сервер, указав разрядность системы, — |
|
ней изоляции, который легко переопределить. |
и на выходе получаешь автономный пакет. |
|
Ты можешь указать режим очистки пе- |
С этого момента он доступен под крышей |
|
сочницы после выхода из автономного при- |
твоего облака. |
|
|
|
|
|
|
Резюме |
|
|
|
|
|
Sandboxie будет оп- |
Shadow Defender |
Evalaze пред- |
Cameyo несет |
А вот если ты пред- |
тимальным выбором |
не имеет каких-то |
лагает не ком- |
в себе некоторый |
почитаешь готовить |
для экспериментов |
уникальных функ- |
плексный подход |
«облачный» привкус: |
по рецепту, VMware |
в песочнице. Про- |
ций, но зато очень |
виртуализации, |
приложение можно |
ThinApp — твой |
грамма наиболее |
проста и безот- |
а индивидуальный: |
скачать с сайта, |
вариант. Это реше- |
информативна сре- |
казна. Любопыт- |
ты контролируешь |
закинуть на флешку |
ние для экспертов, |
ди перечисленных |
ный факт: статья |
запуск конкретного |
или в Dropbox — это |
которым важен |
инструментов, в ней |
писалась внутри |
приложения, создав |
во многих случаях |
каждый нюанс. |
доступна функция |
этой «песочницы», |
для этого искус- |
удобно. Правда, |
Набор уникальных |
мониторинга. Широ- |
и по досадной |
ственные условия |
наводит на ассоци- |
функций дополняет- |
кий выбор настроек |
ошибке все изме- |
обитания. Здесь |
ации с фастфудом: |
ся возможностями |
и неплохие воз- |
нения ушли в «тень» |
есть свои достоин- |
за качество и соот- |
консоли. Ты можешь |
можности по управ- |
(читай: астрал). |
ства и недостатки. |
ветствие содер- |
конвертировать |
лению группой |
Если бы не Dropbox, |
Впрочем, с учетом |
жания описанию |
приложения из |
приложений. |
на этой странице |
урезанности бес- |
ручаться не прихо- |
командной строки, |
|
был бы опублико- |
платной версии |
дится. |
используя конфиги, |
|
ван совсем другой |
Evalaze, и досто- |
|
сценарии — в инди- |
|
текст — скорее все- |
инства померкнут |
|
видуальном и пакет- |
|
го, другого автора. |
в твоих глазах. |
|
ном режиме. |
BufferZone представляет собой песочницу с функцией файрвола. Этот гибрид далек от совершенства и актуальности настроек, но для контроля интернет-актив- ности приложений и защиты от вирусов BufferZone использовать можно.
54 |
X-Mobile |
ХАКЕР 01 /180/ 2014 |
Плоские
штуки
Восемь трендов мобильной разработки 2013 |
Ушедший год для мобильных девелоперов, аналитиков и прочих стартаперов получился сверхнасыщенным. Еще бы — перевернулись концепции дизайна, разработка стала быстрее, в индустрию пришли по-настоящему большие деньги, да и в целом наметилось немало интересных трендов. Многие из них
являются логичным продолжением прошлогодних, но некоторые стали очевидны совсем недавно. В любом случае, если ты вдруг профукал мобильную разработку в 2013-м — здесь мы собрали все самое важное и интересное.
Дмитрий Власов,
Soulmatter
ХАКЕР 01 /180/ 2014 |
Плоские штуки |
55 |
Mobile backend as a service становится повсеместным
Мобильные SaaS-бэкенды (MBaaS) получили в этом году большое распространение. Одним из поводов стала громкая покупка Фейсбуком сервиса Parse и программное выступление Цукерберга, который призвал всех мобильных разработчиков переходить в облачные мобильные бэкенды. Главная мантра, которая позволила развиться многочисленным MBaaSпровайдерам, звучит так: «Не думайте о бэкенде, просто храните данные и управляйте ими».
Для обычного разработчика мобильного приложения на любой платформе это означает, что пользоваться масштабируемым, надежным и относительно дешевым сервером API можно, даже не имея в команде бэкенд-разработ- чика. Более того, почти все провайдеры PaaS для мобильных сервисов предоставляют фичи, самостоятельная разработка просто нецелесообразна — например, навороченная админка для данных, аналитика производительности, хранение статики, клиентский SDK для прямого обращения с данными из приложения, авторизация через соцсети и много чего еще.
В промотуториалах таких сервисов можно встретить заголовки типа «Как закодить Airbnb за один день» от Stackmob (stackmob.com) или «Сделаем свой Instagram в одиночку» от Parse
Parse предоставляет не только готовую платформу для бэкенда, но и прекрасную админку из коробки
(parse.com). И эти ребята на самом деле не врут: |
личество вызовов API, что опять-таки позволит |
строить сервер на таких платформах — одно |
наращивать затраты пропорционально росту |
удовольствие, особенно если тебе хочется ис- |
аудитории. |
пользовать несколько мобильных ОС. Платить |
Согласно прогнозам Forrester, рынок MBaaS |
за первые 5–10 тысяч пользователей тебе почти |
вырос в 2013-м в пять раз по сравнению с про- |
не придется, а с переходом на платную модель |
шлым годом и вырастет еще в семь раз за следу- |
ты будешь получать чеки исключительно за ко- |
ющие пару-тройку лет. |
Плоский дизайн во всем
Apple все переделала, поэтому теперь даже «позд- |
самая влиятельная компания мира призывала |
нее большинство» мобильной индустрии думает |
к объемным интерфейсам, все это было просто |
плоско. Можно сколько угодно говорить об опреде- |
модным увлечением. Сейчас пал последний басти- |
ляющей роли Metro UI и плоскости Android, но пока |
он и не делать флэт стало просто невозможно. |
В Metro UI и других плоских интерфейсах непонятно, |
Якобы плоские минималистичные иконки iOS 7 ино- |
что является кнопкой, а что нет |
гда выглядят совсем не так |
Псевдоплоский интерфейс Gmail не отказался от состояния нажатой кнопки и ховера
Скевоморфизм вместе с кожаными переплетами и бумажными паттернами задвинут на дальнюю полку, на смену ему пришли чистые экраны с минимумом элементов, отсутствием градиентов, заблюренными картинками и большой ролью текста как управляющего элемента. В 2014 году дизайном правят не декорации, а контент. Плоскими стали не только экраны, но и иконки приложений — теперь хоумскрины iOS-девайсов заполняют квадратики с равномерной заливкой вместо псевдообъемных образов.
Для разработчиков и дизайнеров новая мода на плоскость оборачивается тем, что непродуманный интерфейс больше не скрыть за красивыми картинками, а сделать очевидную глупость стало еще проще. Если строго придерживаться канонов флэт, можно кнопки сделать неотличимыми от статусных элементов, а метафоры одноцветных иконок — непонятными, чем окончательно запутать юзера. С другой стороны, несогласованный дизайн вроде тоже плохо, хотя сама iOS 7 демонстрирует элементы с градиентом и без, минималистичные и перегруженные деталями, чем вызывает бурю критики. Если смотреть в правильную сторону, UX-инженеры выделяют дизайн Gmail как удачно сочетающий флэт и тени, за счет чего он получается чистым, но при этом понятным.
Если с дизайном все стало сложнее, то с точки зрения реализации приложения становятся легче и быстрее в реализации, так как теперь интерфейс во многом строится программно, а не графически. Кроме того, свежесть парадигмы еще позволяет делать «модные» интерфейсы, пользуясь только нативными элементами и не изобретая велосипед. Хотя наверняка уже через полгода-год дефолтная плоскость iOS 7 всем надоест и придется придумывать что-то новое.
56 |
X-Mobile |
ХАКЕР 01 /180/ 2014 |
За приложения больше не хотят платить
2013 год продемонстрировал исторический мини- |
продажа данных о пользователях. Однако факт |
|
мум количества платных приложений в App Store, |
остается фактом — и обратно заставить пользо- |
|
согласно данным Flurry. Более 90% всех выло- |
вателей платить сразу при установке будет очень |
|
женных в магазин приложений не стоили пользо- |
сложно. |
|
вателям при скачивании ровным счетом ничего, |
Итогом года стал переход на модель free-to- |
|
а средняя стоимость платного приложения соста- |
play многих монстров мобильного геймдева, на- |
|
вила всего 19 центов. Конечно, это не означает, |
пример Plants vs. Zombies от PopCap, Real Racing |
|
что паблишеры приложений перестали зараба- |
от EA и даже дряхлеющих Angry Birds от Rovio. |
|
тывать, — просто на первый план вышли разно- |
Как следствие, появилась армия недовольных |
|
образные модели постпродажного заработка, |
пользователей-ретроградов, желающих возвра- |
|
будь то покупки внутри приложения, реклама или |
щения долларовых приложений. |
Количество бесплатных приложений в App Store растет |
Рост open source и UI-фреймворков для Objective-C
Самый простой способ набрать очки репутации на Stack Overflow в комьюнити iOSразработчиков — это разработать мало-мальски полезный контрол на Objective-C, выложить под открытой лицензией и отвечать на все болееменее релевантные вопросы ссылкой на свое творение :). И это неспроста, ведь несмотря на достойное третье место в списке самых популярных языков после C и Java, Objective-C остается вотчиной скупых девелоперов, крайне неохотно делящихся собственным кодом. Еще пару лет назад найти готовый красивый компонент для задач, вроде обрезания фотографии или выезжающего бокового меню, было сложнее, чем написать его самому.
Сейчас ситуация кардинально изменилась благодаря массовому приходу разработчиков в платформу и сайтам-агрегаторам вроде code4app.net и cocoacontrols.com. Кроме небольших сниппетов, в Сети стали появляться целые готовые каркасы UI для приложений, которые хотят быть похожими на лучшие образцы интерфейсостроения. Поэтому если ты вдруг задумал делать приложение, внешне похожее на Clear с его жестовым управлением или Path с анимированным круглым меню, то благодаря опенсорсу в нынешнем году сможешь сэкономить себе пару месяцев разработки.
Алерты, нотификации, раскрывающиеся меню — все многообразие элементов с Cocoa Controls
Мобильные UI-фреймворки взрослеют
Если ты хотел сделать зарабатывающее мобильное приложение в 2010 году, то, в принципе, мог ограничиться iOS-платформой и забыть про Android, так как он был ущербно мал с точки зрения доли пользователей и вообще не существовал с точки зрения оборота внутренних покупок. Сегодня игнорируют Android только полные яблокофилы, поэтому кросс-платформенные фреймворки стали объектом пристального внимания.
За год в этой области произошло много интересного. Google в Android KitKat наконец сделала оптимизацию исполняемого кода и рендеринга веб-страниц внутри приложений. А Microsoft в октябре объявила о всесторонней поддержке Xamarin. Но самый крутой показатель роста интереса к фреймворкам можно наблюдать в вакансиях мобильных разработчиков, где появились места с названиями в духе «Xamarin-разработчик».
Фреймворки облегчают твою девелоперскую жизнь примерно так же, как и MBaaS, только
на клиентской стороне. UI можно писать на чистом HTML5/CSS/JavaScript, чтобы потом показать в приложении в виде WebView-компонента (так делают Adobe PhoneGap phonegap.com и Sencha sencha.com), можно писать на нестандартном JavaScript и CSS, чтобы потом скомпилировать в нативный код для каждой платформы (как в Appcelerator Titanium appcelerator.com), а можно вообще отказаться от общего интерфейсного кода и шарить только бизнес-логику, написанную на C# (как в Xamarin xamarin.com). Плюсы и минусы каждого подхода понятны — JS-код в веб-компонентах исполняется обычно медленно, а UI, сделанный на PhoneGap без плагинов, будет выглядеть как с другой планеты. С другой стороны, супернативность, продвигаемая Xamarin, потребует от тебя умения писать на всех платформах и, кроме того, знания само-
го Xamarin. А в случае Titanium ты останешься |
PhoneGap-интерфейсы выглядят пристойно, но со- |
на промежуточном решении. |
всем не нативно и все еще медленно работают |
ХАКЕР 01 /180/ 2014 |
Плоские штуки |
57 |
Фрагментации iOS больше нет, Android фрагментирован как никогда
Важный вопрос для разработчика мобильных про- |
невозможно. Этим сразу воспользовались многие |
которая достигла пика в этом году. Почти треть |
грамм заключается в том, какие версии ОС под- |
крупные разработчики, дропнув поддержку iOS 6 |
всех пользователей до сих пор сидит на древних |
держивать. Еще в прошлом году даже на iOS зна- |
уже через пару недель после выхода iOS 7. И никто |
версиях ниже 2.3.7, при этом современная 4-я се- |
чительные усилия программистов уходили на то, |
не обиделся, что какой-нибудь Mailbox не работа- |
рия ОС тоже фрагментирована аж на 5 версий с |
чтобы обеспечить совместимость с 5-й и 6-й |
ет у «жалких» 10% пользователей. На ближайший |
долями от 1% до 38%. |
версиями. С нынешним апдейтом Apple внесла |
год вопрос кросс-версионности, очевидно, снят. |
В 2014 году тестирование под iOS станет еще |
настолько значительные изменения в SDK и ди- |
На противоположной стороне баррикад |
проще, а для Android останется столь же непри- |
зайн, что поддерживать старые версии больше |
Android продолжает порождать фрагментацию, |
ятным. |
Дикая фрагментация Android-устройств в 2013 году |
Состояние фрагментации версий Android в декабре 2013 года |
Play Market становится лучше, App Store застрял в истории
В то время как Google активно внедряет инновации в главный магазин приложений на планете, Apple почти не трогает свой App Store уже который год подряд. Play Market обзавелся настоящей аналитикой, работающей на основе Google Analytics и позволяющей узнать важные вещи вроде источников трафика на страницу приложения, конверсии в установки и общего количества просмотров. Все, что понравится твоим маркетологам :).
Кроме того, Play Market получил отличный редизайн веб-версии и стал щеголять большими скриншотами, удобным списком приложений категории и много чем еще. Добавь все это к уже имеющемуся набору из встроенного режима тестирования (TestFlight в магазине), возможности отвечать на комментарии и размещать промовидео и получишь систему, идеальную для разработки и дистрибуции, не в пример App Store. А самое главное — выкладывая приложение в Play
Market, разработчик получает первых пользо- |
|
вателей уже через два-три часа, тогда как после |
|
выкладывания в App Store период ревью может |
|
растягиваться до пары недель. После чего раз- |
|
работчик рискует получить отказ в размещении |
|
в магазине по причине того, что ревьюеру не по- |
|
нравилось что-то в приложении или оно не соот- |
|
ветствует представлению Apple о прекрасном. |
|
В общем, если ты хочешь быстро сделать прило- |
|
жение и проверить идею на «живых» людях, Play |
|
Market — отличное место для этого. |
|
Справедливости ради, в App Store версии 2013 |
|
все же появилась очень крутая штука, которая |
|
сделала жизнь обычных покупателей приятнее, — |
|
моментальная покупка приложений по отпечатку |
|
пальца с Touch ID. Теперь у всех сознательных |
|
владельцев iPhone 5S, использующих 20-значные |
|
пароли, сохранится несколько свободных секунд |
Воронка переходов и установок приложения |
на покупке каждой программы. |
из Google Play в Google Analytics |
Фокус индустрии смещается в сторону корпоративной разработки
Компания Appcelerator (appcelerator.com) ежегодно проводит опрос среди мобильных разработчиков, в котором спрашивает, чем они сейчас занимаются. В 2013 году доля девелоперов, работающих над приложениями для бизнеса (B2B) или приложениями для сотрудников корпораций (B2E), выросла почти в два раза до 43%. Очевидно, что этот тренд будет только нарастать благодаря всем подогревающим факторам — высоким ценам на пользователя, высоким зарплатам разработчиков и интересу компаний к мобильным штучкам. Разработать консьюмерское приложение и зарабатывать на нем в нынешней ситуации очень непросто. Чтобы сделать его масштабируемым, ты должен понимать, сколько стоит поль-
зователь и сколько он будет способен в среднем тебе заплатить. При нынешней стоимости привлечения в 30–40 рублей и конверсии в платежи
Все больше разработчиков ориентируются на эн-
терпрайз
5%, тебе нужно добиться огромного среднего чека в 600 рублей.
С каждым годом развития App Store становится понятнее, что эта площадка — поле битвы небольшого числа паблишеров-гладиаторов за несколько сотен мест в топе. Все остальные миллионы приложений — это кладбище без трафика и прибыли.
То ли дело разработка для корпораций. Малейшая оптимизация бизнес-процесса с помощью мобильных девайсов принесет миллионный профит. Под заказную разработку для компаний можно спокойно нанимать разработчиков с высокой зарплатой, тратиться на офис и радоваться тому, что индустрия мобильной разработки — крайне прибыльная штука. 
58 |
X-Mobile |
ХАКЕР 01 /180/ 2014 |
Sergey Galyonkin @ flickr.com
ХАКЕР 01 /180/ 2014 |
Защитные амулеты |
59 |
Защитные
амулеты
Лучшие приложения, которые превратят андроидофон в неприступный гаджет
Как бы ни старались инженеры Google сделать Android более безопасной ОС, когда дело касается юзабилити, им приходится идти на уступки. Вроде бы можно заставить пользователя применять длинный пароль на экране блокировки, но это создаст неудобства; можно зашифровать содержимое карты памяти, но как быть, если юзер вставит ее в другой смартфон? Компромиссы, компромиссы, компромиссы… А если самим сделать то, что Google не может?
Евгений Зобнин zobnin@gmail.com
ВВЕДЕНИЕ
Смартфон, планшет, умные часы. Все это мобильные гаджеты, которые теряются, крадутся, вымогаются, продаются первому встречному. Хранить важные для себя данные в таком девайсе не то что опасно, а сродни выставлению на всеобщее обозрение: взял чужой телефон и за пять минут узнал, с кем человек общается, кому
ичто пишет, его пароли на сайтах и количество оставшихся денег на счете и кредитной карте (ну ладно, платить по NFC еще нельзя, и то хорошо).
Понятно, что от непрошеных гостей можно поставить пин на экране блокировки, однако для человека, обладающего хоть десятью граммами серого вещества, не составит труда обойти все эти пины вместе с фейсконтролями (да и отпечаток пальца в iPhone 5s, чего уж там). Шифрование данных? Да, в Android с недавнего времени есть возможность настроить шифрование всех пользовательских данных, да так, что ни один математик не вскроет. Проблема только в том, что они расшифровываются при включении смартфона
иостаются открытыми все время его работы. А карта памяти так и вообще доступна всем и вся, даже если ее физически нет в смартфоне (это я про эмуляцию карты памяти в нексусах).
Что еще? Да в общем-то, все. По сути, это весь набор защитных механизмов, которые может предложить ОС в борьбе атаками, основанными на, так сказать, доступе к телу. Есть, конечно, еще разные цифровые сертификаты, шифрованная передача данных по сети и прочее, но все это относится к сетевому взаимодействию. А вот против ручного вмешательства защиты почти никакой. И мы должны это исправить.
ДО И ПОСЛЕ
Вообще говоря, все виды защиты смартфона (да и всего что угодно) можно разделить на две простые логические группы: те, что применяются как заблаговременные превентивные меры, перекрывающие доступ к какой-либо информации (пин, пароль, шифрование), и те, что должны сработать уже после того, как злоумышленник получил доступ к смартфону. Ко второму типу в основном относятся разного рода системы уда-
ленной блокировки и поиска, но это также и более изощренные системы, например те, что умеют делать незаметные снимки фронтальной камерой и совершать обратный звонок. Мы рассмотрим их позже, а пока разберемся с тем, как и что мы можем защитить заблаговременно.
ПАРОЛИ
Первое, что приходит на ум, когда речь заходит о защите информации, — это, конечно же, пароли. Android в смысле обращения с паролями использует несколько стандартных для многих мобильных и не очень систем методику. Пароль Google вводится один раз, после чего на его основе генерируется аутентификационный токен, который сохраняется в памяти устройства в открытом виде, но может быть использован для доступа к аккаунту только с данного смартфона, а в случае утери девайса отозван через вебинтерфейс. Таким же образом действуют многие другие приложения, включая Twitter и Facebook. Что-либо изменить в таком поведении невозможно, да и бессмысленно.
Для хранения браузерных паролей используется другая методика. Все введенные и сохраненные в браузере данные записываются в файл
/data/data/com.android.browser/webview.db, и, хотя штатными средствами просмотреть его невозможно, имея root (а мы ведь любим рутовать смартфоны), легко скопировать файл на соседний смартфон, а затем проанализировать его с помощью любого приложения для просмотра баз SQLite 3.
Я бы хотел сказать, что для создания необходимого уровня безопасности браузер должен запрашивать у пользователя мастер-пароль для расшифровки сохраненных паролей, однако очевидно, что в данном случае имеет место очередной компромисс. А уж как обойти этот компромисс, решать нам. Один из способов — это просто не сохранять пароли в браузере и вводить их каждый раз заново. Удобно? Не думаю.
На компах многие привыкли использовать для решения этой проблемы специальный софт типа KeePass — он хранит все пароли в одном зашифрованном контейнере, который открывается
при вводе мастер-пароля. Что мешает нам использовать тот же софт на Android-смартфоне? Ничего, приложение Keeper Password & Data Vault, которое можно найти в маркете по цене 0 рублей 0 копеек, справляется с этой задачей на ура. Возможности приложения:
•работает везде: Android, iOS, Windows, OS X, Chrome, Firefox;
•синхронизирует базу паролей между разными инстанциями;
Сразу после запуска Keeper запросит мастер-
пароль для шифрования паролей