INFO App Update Android (v1.4.25)

[Aldrift]

Was für ein Gesetz, dass man auf lokale IPs nicht HTTP oder.. OK werden wir strenger,  dass man  HTTPS self-signed verwenden darf? 😂

Nein ehrlich ich weiß was Du meinst, aber in Betracht auf den Vorschlag hier gibt es m.E. keine wirkliches (auch gesetzliches) Kontra.

Aber ja ich gebe Dir Recht viele der Richtlinien sind nur Steine die man in den Weg gelegt bekommt, aber man sollte sich wie in diesem Fall keinen eigenen Stein ans Bein binden 🙂 

 

Bitte melde dich an um den Link zu sehen.

 um auch diesen Berecih nochmal zu prüfen, OK es werden Login Daten übertragen, also z.B. "passwort@name" über den Usernamen in der App, um sich so bei einem Serve zu authentifizieren und anzumelden. Im internen/lokalen Netzwerk könnte einer das über HTTP "sniffen" und damit einen User "spoofen", aber sobald Ihr self-signed HTTPS auf lokale IPs verwendet, dann ist auch das nicht mehr möglich, denn hier könnte nur der Serverbetreiber im lokalen Netzwerk das Passwort über HTTPS self-signed entschlüsselen, und das muss er natürlich nicht, denn er hat es ja sowieso. Somit wäre mein Vorschlag ganz klar: bleibt bei HTTPS im öffentlichen Netzwerken und im  lokalen Netzwerk sind IPs( 192er, 172er, 10er) auf self-signed HTTPS beschränkt. Das würde ja ausreichen, dann muss kein HTTP zum Einsatz kommen. Im übrigen ist derzeit es auch nicht mit (zumindest dem Iphone) in Einklang, DENN, erstelle ich eine eigen Root CA und gebe diese im Iphone explizit als Trusted an, auch dann verbindet sich die App nicht; das heißt Ihr seit derzeit strenger als Apple 😄 Aber es darauf zu entwickeln, dass Ihr die Trusted CAs im Iphone abfragt und es dann zumindest zulässt, erscheint mir mehr Aufwand als Nutzen, d.h. wie oben beschrieben HTTPS self-signed auf 192er, 172er, und 10er IPs es zuzulassen müsste ausreichen und vom Aufwand her sehr überschaubbar sein 🙂 lg

Bearbeitet 8. Dezember 2024 von Aldrift

[Aldrift]

Am 6.12.2024 um 17:19 schrieb Martin:

so machen wir es. Ich bespreche noch mal und Du remindest;)

Bitte melde dich an um den Link zu sehen.

 Frohes Neues Jahr!! Ich hoffe Du und SK sind gut reingedriftet 🥳 Hier der kleine Reminder und weiß auch nicht ob Du meinen letzten Post (weil es editiert hinzugefügt hatte) bereits gesehen hattest (siehe oben) Weiterhin bin ich stark dafür auf (nur!) lokale IPs self-signed zuzulassen.

PS wenn ich das hier von Bernd lese, dann denke glaub auch die meisten dass dies auch wieder kommen wird 🙏 wie gesagt imo erweitert es das Spiel ungemein und auf nur lokale IPs mit noch self-signed seid Ihr safe.

Am 18.11.2024 um 09:44 schrieb B-Unit:

..., da fehlt aber das Update aktuell, dass "http" wieder freigeben ist. Dann hast du für dich im privaten Rahmen eine kostenfreie Alternative.

LG Alex

 

[B-Unit]

Bitte melde dich an um den Link zu sehen.

Okay, hast recht. Ich editiere es mal raus aus meinem Beitrag, wenn das letzte Statement von Martin halt anders aussieht.

[Aldrift]

vor einer Stunde schrieb B-Unit:

Bitte melde dich an um den Link zu sehen.

Okay, hast recht. Ich editiere es mal raus aus meinem Beitrag, wenn das letzte Statement von Martin halt anders aussieht.

Martin prüft ja noch, ist nichts ganz final entschieden, sollte nur zeigen dass der ein oder ander (wie auch ich bis vor kurzem noch) denkt es ist ein Bug im Update und wird noch irgendwann behoben; dass der "Bug zum Feature wird" mit LOKALEN IPs + https-self-signed,  sehe ich eigentlich gute Chance für, ich drücke die Daumen und soll ja hier ab und wann reminden 😄 

[Aldrift]

Am 6.12.2024 um 17:19 schrieb Martin:

so machen wir es. Ich bespreche noch mal und Du remindest;)

Reminder

Bitte melde dich an um den Link zu sehen.

😁 

Please please please.. Drift API wieder auf lokale IPs mit HTTPS self-signed freischalten 🙏

Bearbeitet 28. Januar von Aldrift

[steffl]

Bin hier nur zufällig vorbeigekommen, möchte

Bitte melde dich an um den Link zu sehen.

 und seinen Entwicklern aber folgende Punkte mitgeben:

Wichtig ist "Secure by default", es sollte rechtlich gesehen okay sein eine unsichere Kommunikation anzubieten, solang sich der Anwender dessen bewusst ist (durch entsprechende Warnungen, wenn er auf http umstellt bzw. vor jedem Connect).
Ehrlich gesagt gehen über die API außer evtl. dem Passwort eh keine sensiblen Daten...

Eine andere Option wäre die Variante mit "self-signed" Zertifikaten: Benutzer bestätigen lassen, dass er diesem Zertifikat vertraut und gut ist. Dann kann sich die App auch den Fingerprint merken und darüber zukünftig den Trust herstellen.

[Aldrift]

vor 30 Minuten schrieb steffl:

Bin hier nur zufällig vorbeigekommen, möchte

Bitte melde dich an um den Link zu sehen.

 und seinen Entwicklern aber folgende Punkte mitgeben:

Wichtig ist "Secure by default", es sollte rechtlich gesehen okay sein eine unsichere Kommunikation anzubieten, solang sich der Anwender dessen bewusst ist (durch entsprechende Warnungen, wenn er auf http umstellt bzw. vor jedem Connect).
Ehrlich gesagt gehen über die API außer evtl. dem Passwort eh keine sensiblen Daten...

Eine andere Option wäre die Variante mit "self-signed" Zertifikaten: Benutzer bestätigen lassen, dass er diesem Zertifikat vertraut und gut ist. Dann kann sich die App auch den Fingerprint merken und darüber zukünftig den Trust herstellen.

Dank für Deinen Input 🙂👍 Schau auch mal weiter oben bzw. zurück, da habe ich auch mal alles beleuchtet und denke auch man macht HTTPS auf öffentliche IPs auf jeden Fall und lokale IPs, die nur im internen Netzwerk vergeben werden können (10,172,192er),  mit HTTPS self-sign, das dürft m.E. soweit dann alles im absolut hellgrünen Bereich sein

[Aldrift]

Am 28.1.2025 um 10:01 schrieb Aldrift:

Reminder

Bitte melde dich an um den Link zu sehen.

😁 

Please please please.. Drift API wieder auf lokale IPs mit HTTPS self-signed freischalten 🙏

Bitte melde dich an um den Link zu sehen.

 Wie besprochen ab und zu ein kleiner Reminder 🙏 lg

Bearbeitet 26. März von Aldrift