Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › iOS und OS X: Apple könnte HTTPS für…

Betrifft nur HTTP APIs!

  1. Thema

Neues Thema Ansicht wechseln


  1. Betrifft nur HTTP APIs!

    Autor: /mecki78 10.06.15 - 13:47

    Was hier immer gerne übersehen wird, APS betrifft nur die OS X HTTP APIs (im westenlich die Foundation Framework Klassen NSURLSession, NSURLConnection und NSURLDownload) und die API, auf denen die aufgebaut sind (CFStream Klassen im CoreFoundation Framework).

    Apps die direkt Sockets öffnen oder eigenen HTTP Libraries nutzen (z.B. libcurl) sind davon nicht betroffen, für die besteht nach wie vor kein TLS Zwang. Apple will nur nicht mehr, das Entwickler mit iOS Boardmitteln unsichere HTTP Verbindung aufbauen (und HTTP ist eben das häufigste Protokoll hier um Daten zu laden oder REST API Calls zu machen). Natürlich darf eine Mail Client App nach wie vor auch SMTP/IMAP/POP3 Verbindungen zu einem Mailserver machen (das geht nicht über HTTP) und natürlich auch zu Mailservern, die keine Verschlüsselung erlauben. Dass mussten aber Entwickler schon immer selber implementieren, weil Apple dieses Protokolle z.B. nicht anbietet.

    NSURLConnection ist primär für HTTP Verbindungen gedacht, kann aber z.B. auch FTP Verbindungen und nicht einmal hier wird TLS erzwungen, APS betrifft wirklich ausschließlich HTTP Verbindungen. Davon ab wird es wohl auch langfristig erlaubt sein HTTP Verbindungen zu benutzten, wenn man Apple klar machen kann, warum das unvermeidbar ist (z.B. weil man keine Kontrolle über die Server hat, zu denen man verbindet; Apples Webbrowser wird auch nach wie vor HTTP Verbindungen öffnen können müssen). Man muss es aber sinnvoll begründen können und in dein meisten Fällen wird man das nicht können (Faulheit, "war einfacher", "ist billiger", "was ist TLS?" sind zwar Gründe, aber keine sinnvollen).

    /Mecki

  2. Re: Betrifft nur HTTP APIs!

    Autor: shyps 10.06.15 - 14:09

    Danke für die Klarstellung. :)

    Ich hab gerade mal in den source von Gideros geschaut - so ne kostenlos gewordene, tolle Middleware. Und seinen Gideros UrlLoader bewerkstelligt es mittels NSMutableURLRequest, sein ignoreSslErrors via NSURLCredential.

    Naja, ich werd's merken, wenn es nicht geht. Noch test ich meine App nur in Android rum. Bzgl. faul und billig warte ich mal auf Let's Encrypt.



    2 mal bearbeitet, zuletzt am 10.06.15 14:10 durch shyps.

  3. Re: Betrifft nur HTTP APIs!

    Autor: deefens 10.06.15 - 17:33

    shyps schrieb:
    --------------------------------------------------------------------------------
    > Und seinen Gideros UrlLoader bewerkstelligt es
    > mittels NSMutableURLRequest, sein ignoreSslErrors via NSURLCredential.

    Gut zu wissen. Ich versteh nur Bahnhof :)

  4. Re: Betrifft nur HTTP APIs!

    Autor: shyps 10.06.15 - 18:22

    Es bedeutet nur, dass diese Middleware nicht das tut, was mecki beschrieben hat (API ausserhalb von IOS benutzen) und damit unsicheres HTTPS darin vielleicht bald geblockt wird. Willst du es denn verstehen oder welchen Zweck verfolgt dein Beitrag? :)

  5. Re: Betrifft nur HTTP APIs!

    Autor: /mecki78 11.06.15 - 01:14

    shyps schrieb:
    --------------------------------------------------------------------------------
    > Und seinen Gideros UrlLoader bewerkstelligt es
    > mittels NSMutableURLRequest, sein ignoreSslErrors via NSURLCredential.

    Ein NSMutableURLRequest alleine nützen ja noch nichts. Irgendwas muss man ja damit machen, denn der beschreibt ja sonst nur wie eben der Request aussehen soll, also ob das ein GET, POST, HEAD ist, wie das Caching ist (darf er aus dem lokalen Cache beantwortet werden oder nicht), wie hoch der Timeout der Verbindung ist, und eben an welche URL der geht. Typischer Weise erzeugt man so einen Request und erzeugt dann eine NSURLConnection mit diesem Request und feuert dann los. Und hier würde APS dann zuschlagen.

    Ich glaube übergangsweise ist das aber kein Problem, wenn du nur zu bestimmten Domains auf TLS verzichten willst (z.B. nur bei deinem eigenen Server). Noch darfst du die nämlich aus Ausnahmen listen. Solange das nur ganz konkrete Domains sind, musst du die auch nicht groß begründen (begründen musst du nur, wenn du beliebe Domains ohne TLS nutzen willst, weil dann ist die Frag, warum bitte muss deine App so etwas können?). Aber diese konkreten Ausnahmen sind nur übergangsweise, steht jetzt schon fest, dass die irgendwann rausfliegen werden (man hat sie soz. eingeführt und gleich für deprecated erklärt; so was hat Apple schon ein paar mal gemacht).

    Das man an sich verschlüsseln muss, das finde ich völlig unkritisch, aber ATS schreibt auch vor wie! Er reicht nicht, dass dein Server einfach nur TLS kann, da gibt es noch weitere Einschränkungen (siehe Artikel, leider nicht konkret). Ich glaube er muss TLS 1.2 können (1.0 und 1.1 gehen wohl nicht, SSL schon dreimal nicht), er darf nicht nur RC4 zum verschlüsseln anbieten (er darf es auch anbieten, solange er auch was anderes anbietet, das iOS kann) und ich glaube die Schlüssellängen dürfen nicht zu kurz sein. Apple will hier wirklich auf Nummer Sicher gehen, dass die Verbindung auch sicher ist. TLS 1.0 und 1.1 haben bekannte Schwachstellen, RC4 gilt als geknackt und zu kurze Schlüssel sind per se unsicher.

    /Mecki

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. akf bank GmbH & Co KG, Wuppertal
  2. TenneT TSO GmbH, Bayreuth
  3. Haufe Group, Leipzig
  4. VDE Verband der Elektrotechnik Elektronik Informationstechnik e. V., Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. 2,99€
  3. 24,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Elektroauto Porsches Elektroauto Taycan im 24-Stunden-Dauertest
  2. Be emobil Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt
  3. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen

IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  2. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  3. IT-Fachkräftemangel Arbeit ohne Ende

Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

  1. Telekom: 30 Millionen Haushalte mit Vectoring und FTTH erreicht
    Telekom
    30 Millionen Haushalte mit Vectoring und FTTH erreicht

    30 Millionen Haushalte können von der Telekom schnelles Internet bekommen. 1,1 Millionen davon sind für den Anschluss an das Glasfaser-Netz der Telekom vorbereitet.

  2. Google: Android Q heißt einfach Android 10
    Google
    Android Q heißt einfach Android 10

    Schluss mit den Süßigkeiten: Google bricht mit der zehn Jahre alten Tradition, seine Android-Versionen nach Naschwaren zu benennen. Aus Android Q wird dementsprechend einfach Android 10, dessen finaler Release in den kommenden Wochen erscheinen soll.

  3. Keine Gigafactory: Tesla will offenbar Autos in Niedersachsen bauen
    Keine Gigafactory
    Tesla will offenbar Autos in Niedersachsen bauen

    Der Elektroautohersteller Tesla erwägt den Bau einer Fabrik in Niedersachsen. Eine Giga-Fabrik für Akkuzellen und Batterien ist allerdings nicht geplant.


  1. 17:32

  2. 17:10

  3. 16:32

  4. 15:47

  5. 15:23

  6. 14:39

  7. 14:12

  8. 13:45