INFO App Update Android (v1.4.25)

[Aldrift]

Was für ein Gesetz, dass man auf lokale IPs nicht HTTP oder.. OK werden wir strenger,  dass man  HTTPS self-signed verwenden darf? 😂

Nein ehrlich ich weiß was Du meinst, aber in Betracht auf den Vorschlag hier gibt es m.E. keine wirkliches (auch gesetzliches) Kontra.

Aber ja ich gebe Dir Recht viele der Richtlinien sind nur Steine die man in den Weg gelegt bekommt, aber man sollte sich wie in diesem Fall keinen eigenen Stein ans Bein binden 🙂 

 

Bitte melde dich an um den Link zu sehen.

 um auch diesen Berecih nochmal zu prüfen, OK es werden Login Daten übertragen, also z.B. "passwort@name" über den Usernamen in der App, um sich so bei einem Serve zu authentifizieren und anzumelden. Im internen/lokalen Netzwerk könnte einer das über HTTP "sniffen" und damit einen User "spoofen", aber sobald Ihr self-signed HTTPS auf lokale IPs verwendet, dann ist auch das nicht mehr möglich, denn hier könnte nur der Serverbetreiber im lokalen Netzwerk das Passwort über HTTPS self-signed entschlüsselen, und das muss er natürlich nicht, denn er hat es ja sowieso. Somit wäre mein Vorschlag ganz klar: bleibt bei HTTPS im öffentlichen Netzwerken und im  lokalen Netzwerk sind IPs( 192er, 172er, 10er) auf self-signed HTTPS beschränkt. Das würde ja ausreichen, dann muss kein HTTP zum Einsatz kommen. Im übrigen ist derzeit es auch nicht mit (zumindest dem Iphone) in Einklang, DENN, erstelle ich eine eigen Root CA und gebe diese im Iphone explizit als Trusted an, auch dann verbindet sich die App nicht; das heißt Ihr seit derzeit strenger als Apple 😄 Aber es darauf zu entwickeln, dass Ihr die Trusted CAs im Iphone abfragt und es dann zumindest zulässt, erscheint mir mehr Aufwand als Nutzen, d.h. wie oben beschrieben HTTPS self-signed auf 192er, 172er, und 10er IPs es zuzulassen müsste ausreichen und vom Aufwand her sehr überschaubbar sein 🙂 lg

Bearbeitet 8. Dezember von Aldrift