|
|
|
Keskustelualueet
Keskustelualueet
|
|
|
Apple ja Google päästivät läpi: Instagram-sovellus varasti puolen miljoonan käyttäjän tiedot
|
|
Viestiketjuun kuuluvat käyttäjäkommentit liittyvät tähän uutiseen:
uutinen julkaistu: 11 marraskuuta, 2015
Apple ja Google ovat jakaneet sovelluskaupoissaan suosittua kolmannen osapuolen kehittämää Intagram-sovellusta, jonka havaittiin eilen illalla keräävän käyttäjien salasanoja ja tallentavan ne luettavassa muodossa tuntemattomalle palvelimelle. Haittaohjelman tavoin toiminut InstaAgent-sovellus on nyt poistettu App Storesta ja Google Playstä.
Kolmannen osapuolen asiakasohjelmien käyttö ... [ lue koko uutinen ]
Lue uutisartikkeli kokonaisuudessaan ennen kuin kommentoit aihetta.
|
Member
|
11. marraskuuta 2015 @ 13:27 |
Linkki tähän viestiin
|
|
Vähän kovaa tekstiä kehittää välttämään indie developerien sovelluksia. Esimerkiksi Rudy Huyn on tehnyt upeita sovelluksia Windows Phonelle jotka ovat mahdollistaneet palvelujen käytön a) palvelun tarjoajan clienttia paremmalla sovelluksilla b) silloin kun virallista sovellusta ei ole.
Mielestäni yksi tämän ajan hienoista puolista on se, että lahjakkaat koodarit pystyvät luomaan ja levittämään ohjelmiaan - ei pelkästään megalomaaniset korporaatiot.
|
Senior Member
|
11. marraskuuta 2015 @ 18:42 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti user@org:
mistä tiedetään että tallentaa luettavassa muodossa palvelimelle, jos ei edes tunneta palvelimen toimintaa, vai tarkoittaako tuo että siirretaan palvelimelle luetettavassa muodossa ?
Tarkoittaa, että softa lähettää käyttäjän tunnuksen ja salasanan selväkielisenä jonnekin.
Lainaus, alkuperäisen viestin kirjoitti user@org:
Jos halutaan että Apple ja Google karsii moiset sovellukset ennakkoon, niin hyväksyntä prosessi harppaisia montapykällää vaativammaksi (kalliiksi) -> tiputtaisi pienen rusurssin kehittäjät auttamatta pois.
Se riippuu ihan mitä "moisella" haluaa tarkoittaa. Jos puhutaan täsmälleen tämänkaltaisesta typeryydestä, ei sen testaaminen ole vaikeata. Proxy väliin ja katsotaan meneekö tunnus ja salasana selväkielisenä.
Toki jos puhutaan tällaisen toiminnan täydellisestä estämisestä, on se jokseenkin mahdotonta.
|
Senior Member
|
12. marraskuuta 2015 @ 11:21 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti user@org:
Testaamisen kannalta varmaan hyvä jos liikenne on selväkielistä :-) .
Mitäköhän nyt mahdat tarkoittaa?
Lainaus:
mm. email, web selaimat + liuta muita poistuisi kaupoista.... jos tunnus ja/tai salasanoja ei saisi selväkielisenä liikkua.
Tunnus saa liikkua, salasana ei. Ja ihan aikuisten oikeasti mitään syytä salasanan lähettämiseen selväkielisenä serverille ei ole. Kuten ei salasanan tallennukseen serverillä.
|
Senior Member
|
12. marraskuuta 2015 @ 13:18 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti user@org:
välityspalvelimella voi tutkia salaamatonta paljon helpommin, siis helpompi tutkia sitä ohjelman liikennettä.
Jos ja kun sekä proxy että laite jolla testataan on testaajan kontrollissa, menee setuppiin 5-10 min ja se tarvitaan tehdä tasan kerran.
Lainaus:
Kaikki ei tue salausta, joten monien ohjelmien välttämätöntä tukea salaamatonta.
Vuosi on 2015, järkevät syyt esim. https:n käyttämättä jättämiseen ovat erittäin vähissä ja Apple tiukentaa ohjeistustaan tämän suhteen koko ajan, ja valvoo sitä.
Lainaus:
Jolloin suoranviivainen, salasana liikkuu selväkielisenä -> ohjelma pois. ei toimi.
Vaikka koko liikennettä ei jostain ihmeellisestä syystä salattaisi ei salasanan lähetys selväkielisenä ole kuitenkaan suotavaa eikä tarpeellista, vaan ainoastaan laiskaa ja typerää.
Lainaus:
Useissa tilanteissa myös se tunnuskin pitää salata, salaamaton käsittely ei siis aina salittua.
En nyt taas ymmärrä pointtiasi. Tottakai sen tunnuksen saa salata, mutta aika usein se on enemmän tai vähemmän julkinen tai ainakin helposti arvattavissa, *toisin kuin salasana*, jota ei pidä lähettää ikinä selväkielisenä serverille, etenkään tunnuksen kanssa eikä sitä pidä ikinä tallentaman tietokantaan selväkielisenä.
Lainaus:
Jos ja kun silla kaupalla voi olla yksinoikeus sovelluste jakeluun, niin sen pitää olla myös aika vapaamielinen mitä kaupassa voi olla.
Ei tarvitse olla "vapaamielinen". Kauppaan pääsy ole mikään perustavaa laatua oleva oikeus. Ja missään tapauksessa ei pidä sallia käyttäjiä vaarantavia käytäntöjä, joiden puolesta yrität jostain ihmeellisestä syystä advokoida.
Apple kiristi verkkoliikenteen säädöksiä ios9:ssa ja uudessa OSX:ssa. Kiristää lisää tulevina vuosina. Ja ihan syystä.
Lainaus:
Kun kyse vielä mailmanlaajuisesta touhusta, niin jossain joku voi olla laitonta, siinä missä se toisaalla on tapa.
Salasanan lähetys selväkielisenä on ihan universaalisti typerää, ja varastaminen liki rikollista ei siihen ole mitään poikkeuksia.
|
Senior Member
|
13. marraskuuta 2015 @ 14:18 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti user@org:
Lainaus, alkuperäisen viestin kirjoitti Jonahan:
Jos ja kun sekä proxy että laite jolla testataan on testaajan kontrollissa, menee setuppiin 5-10 min ja se tarvitaan tehdä tasan kerran.
En tiedä miten tuo laskit, ihan mutuna veikkaan että testaus menetelmien tekemiseen on käytetty paljon aikaa.
Muistelin kuinka pitkään itsellä meni vastaavan setupin laittamiseen kun tarvitsin sitä testaukseen.
Lainaus:
Välityspalveimella voi ehkä joihinkin salattuihin päästä paremmin kiinni kuin ilman, salaamaton silti helpompaa.
Sen jälkeen kun laitteelle ja proxylle on laitettu asetukset kuntoon näkyy salattu liikenne täysin samalla tavalla kuin salaamaton. Ei siis mitään eroa vaikeusasteessa sen ensimmäisen 5-10min jälkeen.
Lainaus:
Vuosi on 2015, kaikki ei ole tämänvuoden kamaa.
Kaikki mitä app storeen laitetaan tänä vuonna pitäisi olla tämän vuoden kamaa. Ja ei niitä syitä ollut kauheasti edes vuonna 2008, kun iOS kehitys tuli mahdolliseksi.
Pystytkö antamaan esimerkin jostain hyvästä syystä olla käyttämättä salattua verkkoliikennettä?
Lainaus:
Jos kyse jostain marginaali nice toimijasta, niin miksä siinä, kunhan käyttäjät ymmärtää ja muutoksia ei tehdä takautuvasta.
Ei tietenkään tehdä, uudet säännöt koskevat uusia submissioita.
Lainaus:
Applestä puhuttaessa niin ei kovin hyvä juttu, se ensin sitouttanut käyttäjänsä itseensä.
Säännökset eivät näy *käyttäjille* millään tavalla suoraan. Ne vaikuttavat kehittäjiin, jotka joutuvat tekemään lisätyötä *elleivät* ole jo tehneet asioita, kuten on kehoitettu viimeiset 5-10v Applen ja ihan jokaisen muun internettoimijan taholta.
Voisitko avata, millä tavalla käyttäjien turvallisuudesta huolehtiminen ei ole hyvä juttu?
Lainaus:
Vuonna 2015, salasanoja lähetetään selväkielisinä, ei automaattisesti typerää. Vuonna 2015 lähetetään tunnuksia salaamatta, joka joissaintapauksissa on jopa typerämpää.
Voitko antaa edes yhden esimerkin jossa salasanan lähetys selväkielisenä ei ole typerää? Itse en pysty sellaista keksimään vaikka ihan oikeasti yritän miettiä.
Käyttäjä käyttää mitä käyttäjälle annetaan, turvallisuus on enimmäkseen kehittäjän/palveluntarjoajan vastuulla ja on erittäin hyvä että Apple kiristää sääntöjä koko ajan. Kaikki hyötyvät, osa kehittäjistä joutuu tekemään hieman lisätyötä.
|
|
Mainos
|
|
|
|
