Zum Inhalt springen

INFO App Update Android (v1.4.25)


Peter
 Teilen

Empfohlene Beiträge

Was für ein Gesetz, dass man auf lokale IPs nicht HTTP oder.. OK werden wir strenger,  dass man  HTTPS self-signed verwenden darf? 😂

Nein ehrlich ich weiß was Du meinst, aber in Betracht auf den Vorschlag hier gibt es m.E. keine wirkliches (auch gesetzliches) Kontra.

Aber ja ich gebe Dir Recht viele der Richtlinien sind nur Steine die man in den Weg gelegt bekommt, aber man sollte sich wie in diesem Fall keinen eigenen Stein ans Bein binden 🙂 

 

Bitte melde dich an um den Link zu sehen.

 um auch diesen Berecih nochmal zu prüfen, OK es werden Login Daten übertragen, also z.B. "passwort@name" über den Usernamen in der App, um sich so bei einem Serve zu authentifizieren und anzumelden. Im internen/lokalen Netzwerk könnte einer das über HTTP "sniffen" und damit einen User "spoofen", aber sobald Ihr self-signed HTTPS auf lokale IPs verwendet, dann ist auch das nicht mehr möglich, denn hier könnte nur der Serverbetreiber im lokalen Netzwerk das Passwort über HTTPS self-signed entschlüsselen, und das muss er natürlich nicht, denn er hat es ja sowieso. Somit wäre mein Vorschlag ganz klar: bleibt bei HTTPS im öffentlichen Netzwerken und im  lokalen Netzwerk sind IPs( 192er, 172er, 10er) auf self-signed HTTPS beschränkt. Das würde ja ausreichen, dann muss kein HTTP zum Einsatz kommen. Im übrigen ist derzeit es auch nicht mit (zumindest dem Iphone) in Einklang, DENN, erstelle ich eine eigen Root CA und gebe diese im Iphone explizit als Trusted an, auch dann verbindet sich die App nicht; das heißt Ihr seit derzeit strenger als Apple 😄 Aber es darauf zu entwickeln, dass Ihr die Trusted CAs im Iphone abfragt und es dann zumindest zulässt, erscheint mir mehr Aufwand als Nutzen, d.h. wie oben beschrieben HTTPS self-signed auf 192er, 172er, und 10er IPs es zuzulassen müsste ausreichen und vom Aufwand her sehr überschaubbar sein 🙂 lg

Bearbeitet von Aldrift
Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 4 Wochen später...
Am 6.12.2024 um 17:19 schrieb Martin:

so machen wir es. Ich bespreche noch mal und Du remindest;)

Bitte melde dich an um den Link zu sehen.

 Frohes Neues Jahr!! Ich hoffe Du und SK sind gut reingedriftet 🥳 Hier der kleine Reminder und weiß auch nicht ob Du meinen letzten Post (weil es editiert hinzugefügt hatte) bereits gesehen hattest (siehe oben) Weiterhin bin ich stark dafür auf (nur!) lokale IPs self-signed zuzulassen.

PS wenn ich das hier von Bernd lese, dann denke glaub auch die meisten dass dies auch wieder kommen wird 🙏 wie gesagt imo erweitert es das Spiel ungemein und auf nur lokale IPs mit noch self-signed seid Ihr safe.

Am 18.11.2024 um 09:44 schrieb B-Unit:

..., da fehlt aber das Update aktuell, dass "http" wieder freigeben ist. Dann hast du für dich im privaten Rahmen eine kostenfreie Alternative.

LG Alex

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor einer Stunde schrieb B-Unit:

Bitte melde dich an um den Link zu sehen.

Okay, hast recht. Ich editiere es mal raus aus meinem Beitrag, wenn das letzte Statement von Martin halt anders aussieht.

Martin prüft ja noch, ist nichts ganz final entschieden, sollte nur zeigen dass der ein oder ander (wie auch ich bis vor kurzem noch) denkt es ist ein Bug im Update und wird noch irgendwann behoben; dass der "Bug zum Feature wird" mit LOKALEN IPs + https-self-signed,  sehe ich eigentlich gute Chance für, ich drücke die Daumen und soll ja hier ab und wann reminden 😄 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 3 Wochen später...
Am 6.12.2024 um 17:19 schrieb Martin:

so machen wir es. Ich bespreche noch mal und Du remindest;)

Reminder

Bitte melde dich an um den Link zu sehen.

😁 

Please please please.. Drift API wieder auf lokale IPs mit HTTPS self-signed freischalten 🙏

Bearbeitet von Aldrift
  • Gefällt mir 2
  • Danke 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 2 Wochen später...

Bin hier nur zufällig vorbeigekommen, möchte

Bitte melde dich an um den Link zu sehen.

 und seinen Entwicklern aber folgende Punkte mitgeben:

Wichtig ist "Secure by default", es sollte rechtlich gesehen okay sein eine unsichere Kommunikation anzubieten, solang sich der Anwender dessen bewusst ist (durch entsprechende Warnungen, wenn er auf http umstellt bzw. vor jedem Connect).
Ehrlich gesagt gehen über die API außer evtl. dem Passwort eh keine sensiblen Daten...

Eine andere Option wäre die Variante mit "self-signed" Zertifikaten: Benutzer bestätigen lassen, dass er diesem Zertifikat vertraut und gut ist. Dann kann sich die App auch den Fingerprint merken und darüber zukünftig den Trust herstellen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 30 Minuten schrieb steffl:

Bin hier nur zufällig vorbeigekommen, möchte

Bitte melde dich an um den Link zu sehen.

 und seinen Entwicklern aber folgende Punkte mitgeben:

Wichtig ist "Secure by default", es sollte rechtlich gesehen okay sein eine unsichere Kommunikation anzubieten, solang sich der Anwender dessen bewusst ist (durch entsprechende Warnungen, wenn er auf http umstellt bzw. vor jedem Connect).
Ehrlich gesagt gehen über die API außer evtl. dem Passwort eh keine sensiblen Daten...

Eine andere Option wäre die Variante mit "self-signed" Zertifikaten: Benutzer bestätigen lassen, dass er diesem Zertifikat vertraut und gut ist. Dann kann sich die App auch den Fingerprint merken und darüber zukünftig den Trust herstellen.

Dank für Deinen Input 🙂👍 Schau auch mal weiter oben bzw. zurück, da habe ich auch mal alles beleuchtet und denke auch man macht HTTPS auf öffentliche IPs auf jeden Fall und lokale IPs, die nur im internen Netzwerk vergeben werden können (10,172,192er),  mit HTTPS self-sign, das dürft m.E. soweit dann alles im absolut hellgrünen Bereich sein

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 1 Monat später...
Am 28.1.2025 um 10:01 schrieb Aldrift:

Reminder

Bitte melde dich an um den Link zu sehen.

😁 

Please please please.. Drift API wieder auf lokale IPs mit HTTPS self-signed freischalten 🙏

Bitte melde dich an um den Link zu sehen.

 Wie besprochen ab und zu ein kleiner Reminder 🙏 lg

Bearbeitet von Aldrift
Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

 Teilen

×
×
  • Neu erstellen...

Wichtige Information

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung