❓ Что меня спрашивали на собесе в финтех компанию Сегодня у меня история. Но сначала анонс 🚨 Новая Подлодка будет про БЕЗОПАСНОСТЬ 👉 Call For Papers Если есть что рассказать про Android-безопасность — пишите туда или мне в личку 🙂 К истори! Пару лет назад я собесился в одну западную финтех-компанию (собес прошёл, но оффер я не принял, понтанулся 😅). Формат такой: дали тестовое, и потом 2 часа обсуждения решения. Знаю, что многие не любят тестовые, да и я сам тоже. Но такой был формат, я согласился. И там был упор на безопасность. Задание было такое: Написать приложение, где пользователь вводит текст и пароль, текст шифруется этим паролем, сохраняется максимально секьюрно на диске и потом может быть расшифрован обратно. Я делал так: - переводим пароль в ключ (Argon2id + соль). Потому что пароль не используем никогда напрямую, плохая практика. Для реализации берем org.signal:argon2 - шифруем через AES-256-GCM с новым IV - храним соль + IV + зашифрованный текст Для хранения выбрал обычный файл в internal storage, а не EncryptedSharedPreferences. Специально, из-за известных кейсов потери данных через Keystore. Терять зашифрованные данные такое себе. Ну и потом весь разговор был не про алгоритмы, а про trade-off’ы и риски. Почему сделал так, а не иначе. Мое решение им зашло, ответы удовлетворили, предложили Senior Software Engineer 😅 💬 А у вас было что-то подобное на собесах? #security #interview