Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitsgefahr: Google korrigiert…

"... so dass der Fehler nun auf Serverseite behoben wird" o_O

  1. Thema

Neues Thema Ansicht wechseln


  1. "... so dass der Fehler nun auf Serverseite behoben wird" o_O

    Autor: TriAler 19.05.11 - 12:35

    verstehe das wer will, sorry, aber irgendwie hört sich das für mich nach einer Beruhigungsfloskel an. Was soll denn ein serverseitiger Patch bringen, wenn die App nach wie vor keine verschlüsselten Tokens versendet?

  2. Re: "... so dass der Fehler nun auf Serverseite behoben wird" o_O

    Autor: Auf_zum_Atom 19.05.11 - 13:11

    TriAler schrieb:
    --------------------------------------------------------------------------------
    > verstehe das wer will, sorry, aber irgendwie hört sich das für mich nach
    > einer Beruhigungsfloskel an. Was soll denn ein serverseitiger Patch
    > bringen, wenn die App nach wie vor keine verschlüsselten Tokens versendet?

    Ganz einfach: In dem man serverseitig einen Redirect von http auf https erzwingt. Und schon ist die Verbindung verschlüsselt (das muss die Anwendung natürlich unterstützen).
    Anscheinend sind die Kalender und Kontakte-App dazu in der Lage.
    Picasa anscheinend jedoch nicht, in sofern wundert es mich etwas, warum golem schreibt, dass das Problem auch für Picasa gelöst wurde.

  3. Re: "... so dass der Fehler nun auf Serverseite behoben wird" o_O

    Autor: mthie 19.05.11 - 14:08

    Auf_zum_Atom schrieb:
    --------------------------------------------------------------------------------
    > Ganz einfach: In dem man serverseitig einen Redirect von http auf https
    > erzwingt. Und schon ist die Verbindung verschlüsselt (das muss die
    > Anwendung natürlich unterstützen).
    > Anscheinend sind die Kalender und Kontakte-App dazu in der Lage.
    > Picasa anscheinend jedoch nicht, in sofern wundert es mich etwas, warum
    > golem schreibt, dass das Problem auch für Picasa gelöst wurde.

    Ganz so einfach ist es nicht, denn eine Anwendung merkt sich diesen Redirect nicht. D.h. es werden AuthTokens bei jedem Request mitgesendet, auch bei dem Initialrequest ohne https, der dann in der Response einen Redirect zur https-Variante enthaelt.

  4. Re: "... so dass der Fehler nun auf Serverseite behoben wird" o_O

    Autor: Auf_zum_Atom 19.05.11 - 14:42

    mthie schrieb:
    > Ganz so einfach ist es nicht, denn eine Anwendung merkt sich diesen
    > Redirect nicht. D.h. es werden AuthTokens bei jedem Request mitgesendet,
    > auch bei dem Initialrequest ohne https, der dann in der Response einen
    > Redirect zur https-Variante enthaelt.

    Ohne die genaue Funktionsweise der Programme (sowohl App und Server) zu kennen ist es müßig, darüber zu diskutieren. Offenbar sind die Kalender und Kontakte App so programmiert, dass sie einen Fallback auf https unterstützen (was technisch ja kein Problem ist, sofern das eben in dem Client Programm vorgesehen ist).
    Eines ist in jedem Fall zu bedenken: Wenn Google so einen Patch ankündigt, dann wird er auch funktionieren (erst recht bei einem so einfach zu überprüfenden Fehler), das Risiko sich zu blamieren gehen die sicher nicht ein.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hochschule Heilbronn, Heilbronn
  2. Heymanns IT-Solutions GmbH, Willich
  3. Wirtschaftsrat der CDU e.V., Berlin
  4. UDG United Digital Group, Karlsruhe, Mainz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,60€
  2. 0,49€
  3. 0,49€
  4. 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


e.Go Life: Ein Auto, das lächelt
e.Go Life
Ein Auto, das lächelt

Das Auto ist zwar klein, bringt aber sogar gestandene Rennfahrer ins Schwärmen: Das Aachener Unternehmen e.Go Mobile hat seine ersten Elektroautos ausgeliefert. In einer Probefahrt erweist sich der Kleinwagen als sehr dynamisch.
Ein Bericht von Werner Pluta

  1. Elektroauto Skoda Citigo e iV soll 265 km weit fahren
  2. Eon-Studie Netzausbau kostet maximal 400 Euro pro Elektroauto
  3. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

  1. US-Boykott: Huawei bekommt Probleme bei SD-Karten und Drahtlosnetzen
    US-Boykott
    Huawei bekommt Probleme bei SD-Karten und Drahtlosnetzen

    Durch den Handelsboykott der USA gerät Huawei immer stärker unter Druck: Das chinesische Unternehmen könnte die Möglichkeit verlieren, seine Mobilegeräte nach den gängigen Standards für SD-Karten und Drahtlosnetzwerke zu bauen - oder zumindest mit den entsprechenden Logos zu werben.

  2. Apple: Update auf iOS 12.3.1 behebt Probleme mit VoLTE
    Apple
    Update auf iOS 12.3.1 behebt Probleme mit VoLTE

    Apple hat ohne öffentlichen Betatest ein Update für iOS veröffentlicht. Es löst mehrere Probleme, darunter einen ärgerlichen Bug mit Voice over LTE und zwei Fehler in der Nachrichten-App.

  3. Project Xcloud: Microsoft streamt Spiele mit Xbox-Blades
    Project Xcloud
    Microsoft streamt Spiele mit Xbox-Blades

    Entwickler müssen nichts am Code von Xbox-Spielen ändern, um sie auf den Servern von Microsoft zu streamen. Das hat Kareem Choudhry von Microsoft gesagt - und gleichzeitig eine neue API vorgestellt.


  1. 13:20

  2. 12:11

  3. 11:40

  4. 11:11

  5. 17:50

  6. 17:30

  7. 17:09

  8. 16:50