Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitsgefahr: Google korrigiert…

"... so dass der Fehler nun auf Serverseite behoben wird" o_O

  1. Thema

Neues Thema Ansicht wechseln


  1. "... so dass der Fehler nun auf Serverseite behoben wird" o_O

    Autor: TriAler 19.05.11 - 12:35

    verstehe das wer will, sorry, aber irgendwie hört sich das für mich nach einer Beruhigungsfloskel an. Was soll denn ein serverseitiger Patch bringen, wenn die App nach wie vor keine verschlüsselten Tokens versendet?

  2. Re: "... so dass der Fehler nun auf Serverseite behoben wird" o_O

    Autor: Auf_zum_Atom 19.05.11 - 13:11

    TriAler schrieb:
    --------------------------------------------------------------------------------
    > verstehe das wer will, sorry, aber irgendwie hört sich das für mich nach
    > einer Beruhigungsfloskel an. Was soll denn ein serverseitiger Patch
    > bringen, wenn die App nach wie vor keine verschlüsselten Tokens versendet?

    Ganz einfach: In dem man serverseitig einen Redirect von http auf https erzwingt. Und schon ist die Verbindung verschlüsselt (das muss die Anwendung natürlich unterstützen).
    Anscheinend sind die Kalender und Kontakte-App dazu in der Lage.
    Picasa anscheinend jedoch nicht, in sofern wundert es mich etwas, warum golem schreibt, dass das Problem auch für Picasa gelöst wurde.

  3. Re: "... so dass der Fehler nun auf Serverseite behoben wird" o_O

    Autor: mthie 19.05.11 - 14:08

    Auf_zum_Atom schrieb:
    --------------------------------------------------------------------------------
    > Ganz einfach: In dem man serverseitig einen Redirect von http auf https
    > erzwingt. Und schon ist die Verbindung verschlüsselt (das muss die
    > Anwendung natürlich unterstützen).
    > Anscheinend sind die Kalender und Kontakte-App dazu in der Lage.
    > Picasa anscheinend jedoch nicht, in sofern wundert es mich etwas, warum
    > golem schreibt, dass das Problem auch für Picasa gelöst wurde.

    Ganz so einfach ist es nicht, denn eine Anwendung merkt sich diesen Redirect nicht. D.h. es werden AuthTokens bei jedem Request mitgesendet, auch bei dem Initialrequest ohne https, der dann in der Response einen Redirect zur https-Variante enthaelt.

  4. Re: "... so dass der Fehler nun auf Serverseite behoben wird" o_O

    Autor: Auf_zum_Atom 19.05.11 - 14:42

    mthie schrieb:
    > Ganz so einfach ist es nicht, denn eine Anwendung merkt sich diesen
    > Redirect nicht. D.h. es werden AuthTokens bei jedem Request mitgesendet,
    > auch bei dem Initialrequest ohne https, der dann in der Response einen
    > Redirect zur https-Variante enthaelt.

    Ohne die genaue Funktionsweise der Programme (sowohl App und Server) zu kennen ist es müßig, darüber zu diskutieren. Offenbar sind die Kalender und Kontakte App so programmiert, dass sie einen Fallback auf https unterstützen (was technisch ja kein Problem ist, sofern das eben in dem Client Programm vorgesehen ist).
    Eines ist in jedem Fall zu bedenken: Wenn Google so einen Patch ankündigt, dann wird er auch funktionieren (erst recht bei einem so einfach zu überprüfenden Fehler), das Risiko sich zu blamieren gehen die sicher nicht ein.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DIEBOLD NIXDORF, Paderborn
  2. Omikron Data Quality GmbH, Berlin
  3. S-IT-Service GmbH, Soest
  4. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen bei München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 199,00€
  2. Code 100SGS3
  3. (u. a. Sicario, Bodyguard, Inception)
  4. (u. a. Lego Ninjago, Wickie, Asterix)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sailfish X im Test: Die Android-Alternative mit ein bisschen Android
Sailfish X im Test
Die Android-Alternative mit ein bisschen Android

Seit kurzem ist Sailfish OS mit Android-Unterstützung für weitere Xperia-Smartphones von Sony verfügbar. Fünf Jahre nach unserem letzten Test wird es Zeit, dass wir uns das alternative Mobile-Betriebssystem wieder einmal anschauen und testen, wie es auf einem ursprünglichen Android-Gerät läuft.
Ein Test von Tobias Költzsch


    Next Generation Car: Das Fahrzeug der Zukunft ist modular
    Next Generation Car
    Das Fahrzeug der Zukunft ist modular

    Ein Fahrzeug braucht eine Kabine und einen Antrieb. Müssen aber beide eine fest verbundene Einheit sein? Forscher des DLR arbeiten an verschiedenen Konzepten für das Auto der Zukunft. Eines davon ist ein modulares Fahrzeug, das für verschiedene Zwecke eingesetzt werden kann.
    Von Werner Pluta

    1. DLR Phylax erkennt Sprengstoffreste per Laser
    2. Raumfahrt DLR testet 3D-gedrucktes Raketentriebwerk
    3. Eden ISS Raumfahrt-Salat für Antarktis-Bewohner

    Mobile Bezahldienste: Wie sicher sind Apple Pay und Google Pay?
    Mobile Bezahldienste
    Wie sicher sind Apple Pay und Google Pay?

    Die Zahlungsdienste Apple Pay und Google Pay sind nach Ansicht von Experten sicherer als klassische Kreditkarten. In der täglichen Praxis schneidet ein Dienst etwas besser ab. Einige Haftungsfragen sind aber noch juristisch ungeklärt.
    Von Andreas Maisch

    1. Anzeige Was Drittanbieter beim Open Banking beachten müssen
    2. Finanzdienstleister Wirecard sieht kein Fehlverhalten
    3. Fintech Wirecard wird zur Smartphone-Bank

    1. Urheberrecht: Aus dem "Irrsinn" der CDU einen Kompromiss machen
      Urheberrecht
      Aus dem "Irrsinn" der CDU einen Kompromiss machen

      Anstatt sich ernsthaft mit den Argumenten der Kritiker zur EU-Urheberrechtsreform auseinanderzusetzen, bezeichnet die CDU sie als Bots oder gekaufte Demonstranten. Sie sollte den "Irrsinn" beenden und die Europawahlen nicht fürchten.

    2. Secure Element: Global Platform gibt Firmware-Loader-Spezifikation frei
      Secure Element
      Global Platform gibt Firmware-Loader-Spezifikation frei

      Mit zwei neuen Spezifikationen soll Global Platform die Entwicklung von Secure-Element-Anwendungen auf mobilen Plattformen vereinfachen. Die Spezifikationen sind zwar nicht neu, laut Global Platform aber erstmals frei verfügbar.

    3. Duopol: Verbände warnen vor Kauf von Unitymedia durch Vodafone
      Duopol
      Verbände warnen vor Kauf von Unitymedia durch Vodafone

      Ein Duopol von Telekom und Vodafone/Unitymedia würde vermeintlich dazu führen, dass die beiden weiterhin ihre alten Bestandsnetze nutzen, statt Glasfaser auszubauen. Eine Entscheidung der EU-Kommission wird bald erwartet.


    1. 15:48

    2. 15:34

    3. 13:41

    4. 13:31

    5. 13:16

    6. 12:02

    7. 11:55

    8. 11:45