[cancellato] Allora, visto che sei tanto convinto delle tue ragioni e la mia risposta resterebbe on-topic, parliamone.
Come dovrebbe essere un'applicazione più sicura di un sito web?
La sicurezza deriva dal fatto che se le chiamate alle api non arrivano da Android certificato e/o ios non vanno.......quindi molto più sicure....altro che ssl pinning...
Beh, non c'è nessun modo per essere sicuri al 200% che la richiesta attivi esattamente da quel device, visto che tutti i parametri passati (che verrebbero garantiti dal client, non attendibile) possono essere modificati. Quindi, dopo aver smontato questa boiata, passiamo alla dimostrazione.
Qualsiasi check client-side può essere bypassato, non appenderti a netqualcosa e altre boiate, qui si parla di transito di dati verso il server, il client è una variabile inutile al discorso, visto che chiunque può essere un client fin tanto che rispetta gli standard di comunicazione del server.
E qui iniziamo con le prove, hai presente speedtest? Sicurezza assurda che i link siano veri, cioè, un conto è ispeziona elemento, un conto è il link ufficiale di ookla.
https://www.speedtest.net/result/10764012255
https://www.speedtest.net/result/10764014372
Ecco, questo è un pratico esempio di quanto il client-side sia inaffidabile, ho semplicemente fatto credere ad ookla di aver eseguito un loro test ed ops, ho una bella connessione.
Ed ovviamente ookla è solo un caso, conosco gente che ha modificato le applicazioni del mcdonald per generarsi offerte illimitate o gente che si è fatta il client custom di instagram per potersi scaricare le storie, e secondo te mcdonald e instagram non hanno provato a bloccare la cosa? Ovvio, ma finché la roba gira sul client, sai già quello che ti devi aspettare.
Adesso, visto che ovviamente non ti fiderai, ti faccio una dimostrazione, con i fatti (magari ho veramente la 5gbit e sono scemo ad usare una 100mega), non con le parole.
Telegram è un'app di messaggistica ultrasicura, si basa sulla sicurezza e sulla privacy degli utenti che lo usano, secondo te, il signor Durov sarebbe stato così stupido da far passare i dati di migliaia di utenti via web se non fosse stato sicuro? Welcolme to 2021, esiste wasm per le cose pesanti. Magari prova a trovare una falla di sicurezza su telegram web, poi manda una mail a security@telegram.org, ti pagano non poco.
Passando oltre, in una qualsiasi app con contenuto dinamico il fetch dei dati viene eseguito via API, i dati in qualche modo passano, e se io replico quella richiesta, non c'è modo che il server possa accorgersi della differenza.
Quindi, che sia un browser a fare la richiesta o un app per esso, cosa dovrebbe cambiare? Alla fine il protocollo è sempre quello, la sicurezza è sempre quella e le performance sono sempre quelle.
Ma ovviamente questi sono dei fatti presi fuori da un 16enne, non avrebbero tanto valore nel mondo del "guardiamo solo le lauree", ed allora ti prendo fuori anche altre fonti, sicuramente più affidabili di me in merito.
Da quora:
I think there isn't a general answer for this question. It mainly depends on the actual security investment in each application type.
Unlike my anonymous friend here, I think there are some major issues regarding mobile banking application security in real life.
First - The application security investment is traditionally much greater in a web banking application then on a mobile banking application. If you take into considerations the variety of apps , OS & hardware you need to test for the mobile you can get to the intuitive conclusion that it is a poor investment compared to web banking.
Some advanced banks that use an multi-channel architecture may re-use the web investment for the sake of the mobile but it is usually only a partial solution.
This is also the reason why you won't be able to trace vulnerabilities as quick as in web applications.
Second - The ability to trace down security breaches and being able to patch them immediately in production is crucial. This is very problematic when you have to rely on App Store's confirmation for versions even for small hot patches. It may take days and weeks. Google play is usually much faster but still it is not as immediate as in web application that does not depend on a store.
You should also make sure that users can only use your current app version.
Insomma, l'unica "vulnerabilità" dei siti web sono gli utonti che si scaricano il peggio schifo e si fanno fregare le password dei browser, cosa non diversa accadrebbe con una app con un attacco mirato, ma vabbè.
Alla fine si torna sempre al solito problema ID-1oT, "puoi proteggere il tuo codice dagli attaccanti ma non dallo stolto dietro la tastiera".
Detto questo, passo e chiudo, sperando nella tua (ed eventualmente quella di altri) comprensione in merito ai siti, che non sono necessariamente meno sicuri di un app, se sviluppati da persone competenti.