INFO App Update Android (v1.4.25)

[THR3360]

vor 6 Stunden schrieb Atomregen:

Wie kommst du zu deiner erfundenen Aussage durch den von dir gezeigten Screenshot?

Das Driftclub nicht kostenfrei ist, liegt daran, dass es durch Dritte entwickelt und betrieben wird. Der zu leistende Beitrag dient dazu wenigstens die laufenden Serverkosten zu decken und vielleicht einen Teil der hunderten wenn nicht gar tausenden Entwicklungsstunden.

Unsichere http Verbindungen wiederum, sind durch die Sicherheitsanforderungen bei Android und iOS per Default deaktiviert und vermutlich bei der "neuen" App Version nicht bedacht/berücksichtigt worden.

Ich habe ja nicht geschrieben, dass... sondern ich glaube.

[Aldrift]

vor 10 Stunden schrieb Atomregen:

Unsichere http Verbindungen wiederum, sind durch die Sicherheitsanforderungen bei Android und iOS per Default deaktiviert und vermutlich bei der "neuen" App Version nicht bedacht/berücksichtigt worden.

Genau sowas vermute ich auch und genauso dass es eigentlich nicht viel Aufwand sein müsste es wieder "zu aktivieren" allerdings nun nach fast einem Jahr gibt es immer noch keine Lösung; obwohl ich das als nicht unwichtig erachte, unsere Gruppe ist immer im lokalen Netzwerk gefahren und hat sich seit dem aufgelöst, echt schade sowas. Ich hoffe wirklich das ganze verdient einen Schubser und hoffe auf Martins Anwort, bin da aber zuversichtlich denn er sagte ja "schaue ich mir spätestens nächste Woche an" 🙂 

Bearbeitet 15. November 2024 von Aldrift

[Aldrift]

Am 28.10.2024 um 21:25 schrieb Martin:

Bezüglich HTTPS kann ich euch ad-hoc tatsächlich keine Antwort geben. Ich schaue mir das aber spätestens kommende Woche mal an. Beziehungsweise bespreche das dann mit meinen Entwicklern.

Hallo

Bitte melde dich an um den Link zu sehen.

, "spätestens kommende Woche" ist nun fast ein Monat her, konntest Du schon was in Erfahrung bringen? Das Thema kann doch nicht so unwichtig sein, wann man nun mit der Community API wieder im lokalen Netzwerk mit entweder self-signed https oder http fahren kann. Das wäre soo schade wenn das nicht nach fast einem Jahr endlich angegangen wird, wir warte hier seitdem drauf  und beten dafür 🙏

Ich mach hier jetzt mal ein "Weekly Friendly Reminder" 😉 

[Aldrift]

Am 28.10.2024 um 21:25 schrieb Martin:

Bezüglich HTTPS kann ich euch ad-hoc tatsächlich keine Antwort geben. Ich schaue mir das aber spätestens kommende Woche mal an. Beziehungsweise bespreche das dann mit meinen Entwicklern.

Sorry habe mich um einen Tag verspätet 😁

 

Bitte melde dich an um den Link zu sehen.

 gibt es seit Deinem Post im Oktober Neuigkeiten?

lg

[Martin]

Am 4.12.2024 um 22:00 schrieb Aldrift:

Sorry habe mich um einen Tag verspätet 😁

 

Bitte melde dich an um den Link zu sehen.

 gibt es seit Deinem Post im Oktober Neuigkeiten?

lg

Du kannst dann damit aufhören;) Nach mehrfacher Rücksprache mit meinen Entwicklern und Prüfung der Optionen muss ich Dir/Euch leider mitteilen, dass wir die Nutzung ungeschützter Netzwerke aus sicherheits- und rechtlichen Gründen leider nicht mehr zulassen können.

Die App wird also auch zukünftig https fordern. Ich hoffe, Ihr/wir finden dennoch einen Weg, die api mit überschaubarem Aufwand weiter ansprechen zu können.

sorry und liebe Grüße,

Martin

[THR3360]

Am 14.11.2024 um 22:42 schrieb THR3360:

Ich glaube deine Frage wurde an anderer Stelle mit: "Nein, http kommt nicht wieder" beantwortet...

Bitte melde dich an um Bilder zu sehen.

Q. e. d.

Bitte melde dich an um den Link zu sehen.

 

[Aldrift]

vor 2 Stunden schrieb Martin:

Du kannst dann damit aufhören;) Nach mehrfacher Rücksprache mit meinen Entwicklern und Prüfung der Optionen muss ich Dir/Euch leider mitteilen, dass wir die Nutzung ungeschützter Netzwerke aus sicherheits- und rechtlichen Gründen leider nicht mehr zulassen können.

Die App wird also auch zukünftig https fordern. Ich hoffe, Ihr/wir finden dennoch einen Weg, die api mit überschaubarem Aufwand weiter ansprechen zu können.

sorry und liebe Grüße,

Martin

Das ist ein schwerer Schlag  😭 Oh man was ein Trauerspiel hier, derzeit eine Hiobsbotschaft nach der anderen..  sorry dafür!

Bitte melde dich an um den Link zu sehen.

Warum macht ihr denn nicht private IP Adressen zugänglich 192* 172* und 10* ?? Das verstehe ich auch aus sicherheitstechnischer Sicht nicht.

 

Bearbeitet 6. Dezember 2024 von Aldrift

[Martin]

Ich kann total verstehen, dass das nicht das ist, was du hören wolltest. Deinen Vorschlag mit den privaten IP diskutiere ich gerne auch noch einmal mit den Fachleuten.
dass man dann immer gleich mit Sprüchen  wie „Trauerspiel“ reagieren muss, verstehe ich allerdings nicht. Ja es läuft nicht  alles rund. Aber hey, schau mal was wir gerade alles geiles in die Welt bringen. Das dauert halt  bis es dann auch rund läuft. 

[Aldrift]

vor 1 Stunde schrieb Martin:

Ich kann total verstehen, dass das nicht das ist, was du hören wolltest. Deinen Vorschlag mit den privaten IP diskutiere ich gerne auch noch einmal mit den Fachleuten.
dass man dann immer gleich mit Sprüchen  wie „Trauerspiel“ reagieren muss, verstehe ich allerdings nicht. Ja es läuft nicht  alles rund. Aber hey, schau mal was wir gerade alles geiles in die Welt bringen. Das dauert halt  bis es dann auch rund läuft. 

Bitte melde dich an um den Link zu sehen.

 Das wäre toll wenn Du diese Option nochmal diskutieren würdest und sorry fürs Trauerspiel, aber versteh auch mich, ich habe damals Tage und Wochen investiert und auch ein Skript gebaut und von heute auf morgen ging es nicht mehr, BÄÄÄM das war schon echt heftig, die ganze Arbeit für ....?  und geduldig bin ich ja soweit, warte ja schon fast ein Jahr auf eine Lösung. Und einen Workaround mit sowas wie ngrok oder wie es heißt möchte ich mir nicht ins lokale Netzwerk bohren, daher entweder habe ich jetzt drei Optionen, 1.) Meine ganze Arbeit landet in der Mülltonne, 2.) ich hole mir eine Webdomain mit SSL Zertifikat (will ja nur im lokalen Netzwerk fahren) oder 3.) die Diskussion über private IP mit Deinen Entwicklern trägt Früchte, ich hoffe auf 3. und wäre DIr mega dankbar wenn Du noch einmal es besprechen könntest 🙂 ich gedulde mich auch weiterhin und mache nur einen 2-4 Wochen Reminder 😅 lg

Bearbeitet 6. Dezember 2024 von Aldrift

[Martin]

vor 46 Minuten schrieb Aldrift:

Bitte melde dich an um den Link zu sehen.

 Das wäre toll wenn Du diese Option nochmal diskutieren würdest und sorry fürs Trauerspiel, aber versteh auch mich, ich habe damals Tage und Wochen investiert und auch ein Skript gebaut und von heute auf morgen ging es nicht mehr, BÄÄÄM das war schon echt heftig, die ganze Arbeit für ....?  und geduldig bin ich ja soweit, warte ja schon fast ein Jahr auf eine Lösung. Und einen Workaround mit sowas wie ngrok oder wie es heißt möchte ich mir nicht ins lokale Netzwerk bohren, daher entweder habe ich jetzt drei Optionen, 1.) Meine ganze Arbeit landet in der Mülltonne, 2.) ich hole mir eine Webdomain mit SSL Zertifikat (will ja nur im lokalen Netzwerk fahren) oder 3.) die Diskussion über private IP mit Deinen Entwicklern trägt Früchte, ich hoffe auf 3. und wäre DIr mega dankbar wenn Du noch einmal es besprechen könntest 🙂 ich gedulde mich auch weiterhin und mache nur einen 2-4 Wochen Reminder 😅 lg

so machen wir es. Ich bespreche noch mal und Du remindest;)

[Atomregen]

vor 3 Stunden schrieb THR3360:

Q. e. d.

Bitte melde dich an um den Link zu sehen.

 

Deine Vermutung, dass es wegen Driftclub ist, war trotzdem nicht richtig

[Aldrift]

Bitte melde dich an um den Link zu sehen.

 noch als Zusatz bei der Diskussion mit den Entwicklern; ich probiere das mal aus sicherheitstechnischer Sicht kurz zu beleuchten (war früher mein Job/whitehat). Also hinsichtlich Sicherheitsbedenke gibt es m.E. die Szenarien einmal der Server könnte manipuliert werden oder die App/das Phone; auch wenn ersteres ( Server ) auch wichtig ist, denke ich, ist zweiteres ( App/Phone )  Euer Schwerpunkt. Server könnte man auch unter der Prämisse abtun, dass wenn man nicht HTTPS verwendet man selber schuld ist (Verantwortung des Serverbetreibers HTTPS zu erzwingen wie es eigentlich mittlerweile fast alle tun). Dennoch sehe ich es als OK, wenn auf öffentliche IPs/Domains vorgesorgt wird und ihr HTTPS dort erzwingent. Beleuchtet man den zweiten Teil, also  App/Phone, nehmen wir als Beispiel jemand möchte Schadcode einschleusen über z.B. das Ping Event wo die Config vom Server ans Iphone geht, ist es eigentlich so dass hier auch HTTPS nicht viel helfen wird. HTTPS verschlüsselt ja nur; so kann ein Angreifer auch von (s)einem Server der im Internet steht seinen Schadcode senden; d.h. hier liegt klar der Aspekt zum sichern der App/Phone bei der API, dass diese eingehende Daten genau geprüft werden. HTTPS sehe ich lediglich nützlich für eine sichere Verbindung, dass keine Daten verändert oder abgeriffen werden können und das bezieht sich eher in Server Richtung (wie gesagt Schadcode in Richtung APP kann man auch aus dem Internet über eine HTTPS Verbindung einschleusen). Kurz um.. HTTP im zumindest lokalen Netzwerk auf private IPs (192er, 172er,10er) zuzulassen, sehe ich aus sicherheitstechnischer Sicht echt keine Konflikte. Verbietet ihr die Verbindung im lokalen Netzwerk komplett (wie derzeit) , ist das gar keine Hürde für Angreifer; die machen dass dann wie gesagt grad über die HTTPS Verbindung aus dem Netz, einzig: Ihr klemmt damit einen mega tollen Anwenderbereich für Euer Spiel ab, wenn man im lokalen Netzwerk gar nicht mehr aggieren kann. Das ist meine Sicht bzw. würde ich mich so weit aus dem Fenster lehnen und es als Fakt bezeichnen, denn so ist der Stand der Technik, wäre toll wenn Du diese kleine Ausführung mit zur Diskussion nimmst 🙂 

lg Alex

Bearbeitet 8. Dezember 2024 von Aldrift

[jogger86]

Die Sache ist halt, dass gerade alle in der EU durchdrehen wegen der Cyber Security Verordnungen.  Das betrifft ganz stark den Automotive Sektor, aber auch smarte Produkte. Jetzt muss man fragen, ob Dr!ft ein smartes Produkt ist. Das könnte man mit Ja beantworten. Da muss man dann objektive Risiko Analysen aufstellen. Jedes Bisschen, was einen Angriff schwerer macht, oder gar ausschließt, hilft dabei natürlich. Im Klartext: API komplett rausnehmen -> höchste Sicherheit auf diese Schnittstelle betrachtet. Aber es fließen auch die Auswirkungen (In dem Falle auf den Endnutzer) mit ein. Hier ist mir nicht ganz klar, was denn überhaupt über die HTTP Schnittstelle gestohlen werden kann? Werden dort auch unverschlüsselt die Nutzerdaten übertragen? Ich denke das alles meinte Martin mit den gesetzlichen Regularien.

Aber deine Ausführungen

Bitte melde dich an um den Link zu sehen.

 sind auf jeden Fall wichtig für so eine Risiko Bewertung.

[THR3360]

vor 5 Stunden schrieb jogger86:

Die Sache ist halt, dass gerade alle in der EU durchdrehen wegen der Cyber Security Verordnungen.  Das betrifft ganz stark den Automotive Sektor, aber auch smarte Produkte. Jetzt muss man fragen, ob Dr!ft ein smartes Produkt ist. Das könnte man mit Ja beantworten. Da muss man dann objektive Risiko Analysen aufstellen. Jedes Bisschen, was einen Angriff schwerer macht, oder gar ausschließt, hilft dabei natürlich. Im Klartext: API komplett rausnehmen -> höchste Sicherheit auf diese Schnittstelle betrachtet. Aber es fließen auch die Auswirkungen (In dem Falle auf den Endnutzer) mit ein. Hier ist mir nicht ganz klar, was denn überhaupt über die HTTP Schnittstelle gestohlen werden kann? Werden dort auch unverschlüsselt die Nutzerdaten übertragen? Ich denke das alles meinte Martin mit den gesetzlichen Regularien.

Aber deine Ausführungen

Bitte melde dich an um den Link zu sehen.

 sind auf jeden Fall wichtig für so eine Risiko Bewertung.

Welche Daten übertragen werden, steht in diesem Forum ganz offen für jeden nicht angemeldeten Nutzer sichtbar. Daraus Bewgungsdaten herzuleiten ist ja Sinn dieser API. Aber Butter bei die Fische, das sind Informationen über ein SPIELZEUGAUTO. 🤣 Welcher Angriff soll denn stattfinden? Ich will jetzt nicht politisch werden, aber die EU und ihre Erlasse sind eine Bremse in vieler Hinsicht.

Bearbeitet 8. Dezember 2024 von THR3360

[jogger86]

vor 2 Stunden schrieb THR3360:

Welche Daten übertragen werden, steht in diesem Forum ganz offen für jeden nicht angemeldeten Nutzer sichtbar. Daraus Bewgungsdaten herzuleiten ist ja Sinn dieser API. Aber Butter bei die Fische, das sind Informationen über ein SPIELZEUGAUTO. 🤣 Welcher Angriff soll denn stattfinden? Ich will jetzt nicht politisch werden, aber die EU und ihre Erlasse sind eine Bremse in vieler Hinsicht.

Ja, du hast ja Recht, aber Gesetzen darf man leider nicht immer mit Logik kommen.🙃