Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitsgefahr: Google korrigiert…

"... so dass der Fehler nun auf Serverseite behoben wird" o_O

  1. Thema

Neues Thema Ansicht wechseln


  1. "... so dass der Fehler nun auf Serverseite behoben wird" o_O

    Autor: TriAler 19.05.11 - 12:35

    verstehe das wer will, sorry, aber irgendwie hört sich das für mich nach einer Beruhigungsfloskel an. Was soll denn ein serverseitiger Patch bringen, wenn die App nach wie vor keine verschlüsselten Tokens versendet?

  2. Re: "... so dass der Fehler nun auf Serverseite behoben wird" o_O

    Autor: Auf_zum_Atom 19.05.11 - 13:11

    TriAler schrieb:
    --------------------------------------------------------------------------------
    > verstehe das wer will, sorry, aber irgendwie hört sich das für mich nach
    > einer Beruhigungsfloskel an. Was soll denn ein serverseitiger Patch
    > bringen, wenn die App nach wie vor keine verschlüsselten Tokens versendet?

    Ganz einfach: In dem man serverseitig einen Redirect von http auf https erzwingt. Und schon ist die Verbindung verschlüsselt (das muss die Anwendung natürlich unterstützen).
    Anscheinend sind die Kalender und Kontakte-App dazu in der Lage.
    Picasa anscheinend jedoch nicht, in sofern wundert es mich etwas, warum golem schreibt, dass das Problem auch für Picasa gelöst wurde.

  3. Re: "... so dass der Fehler nun auf Serverseite behoben wird" o_O

    Autor: mthie 19.05.11 - 14:08

    Auf_zum_Atom schrieb:
    --------------------------------------------------------------------------------
    > Ganz einfach: In dem man serverseitig einen Redirect von http auf https
    > erzwingt. Und schon ist die Verbindung verschlüsselt (das muss die
    > Anwendung natürlich unterstützen).
    > Anscheinend sind die Kalender und Kontakte-App dazu in der Lage.
    > Picasa anscheinend jedoch nicht, in sofern wundert es mich etwas, warum
    > golem schreibt, dass das Problem auch für Picasa gelöst wurde.

    Ganz so einfach ist es nicht, denn eine Anwendung merkt sich diesen Redirect nicht. D.h. es werden AuthTokens bei jedem Request mitgesendet, auch bei dem Initialrequest ohne https, der dann in der Response einen Redirect zur https-Variante enthaelt.

  4. Re: "... so dass der Fehler nun auf Serverseite behoben wird" o_O

    Autor: Auf_zum_Atom 19.05.11 - 14:42

    mthie schrieb:
    > Ganz so einfach ist es nicht, denn eine Anwendung merkt sich diesen
    > Redirect nicht. D.h. es werden AuthTokens bei jedem Request mitgesendet,
    > auch bei dem Initialrequest ohne https, der dann in der Response einen
    > Redirect zur https-Variante enthaelt.

    Ohne die genaue Funktionsweise der Programme (sowohl App und Server) zu kennen ist es müßig, darüber zu diskutieren. Offenbar sind die Kalender und Kontakte App so programmiert, dass sie einen Fallback auf https unterstützen (was technisch ja kein Problem ist, sofern das eben in dem Client Programm vorgesehen ist).
    Eines ist in jedem Fall zu bedenken: Wenn Google so einen Patch ankündigt, dann wird er auch funktionieren (erst recht bei einem so einfach zu überprüfenden Fehler), das Risiko sich zu blamieren gehen die sicher nicht ein.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hays AG, Reutlingen
  2. XOX Gebäck GmbH, Hameln
  3. AKDB, Regensburg
  4. OSRAM GmbH, Traunreut

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Wet Dreams Don't Dry im Test: Leisure Suit Larry im Land der Hipster
Wet Dreams Don't Dry im Test
Leisure Suit Larry im Land der Hipster

Der Möchtegernfrauenheld Larry Laffer kommt zurück aus der Gruft: In einem neuen Adventure namens Wet Dreams Don't Dry reist er direkt aus den 80ern ins Jahr 2018 - und landet in der Welt von Smartphone und Tinder.
Ein Test von Peter Steinlechner

  1. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller
  2. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Flexibles Smartphone: Samsung verspielt die Smartphone-Führung
Flexibles Smartphone
Samsung verspielt die Smartphone-Führung

Jahrelang dominierte Samsung den Smartphone-Markt mit Innovationen, in den vergangenen Monaten verliert der südkoreanische Hersteller aber das Momentum. Krönung dieser Entwicklung ist das neue flexible Nicht-Smartphone - die Konkurrenz aus China dürfte feiern.
Eine Analyse von Tobias Költzsch

  1. Samsung Android-9-Beta für Galaxy S9 startet in Deutschland
  2. Flexibles Display Samsungs faltbares Smartphone soll im März 2019 erscheinen
  3. Samsung Linux-on-Dex startet in privater Beta

Haiku Beta 1 angesehen: BeOS in modernem Gewand
Haiku Beta 1 angesehen
BeOS in modernem Gewand

Seit nunmehr über 17 Jahren arbeitet ein kleines Entwickler-Team am quelloffenen Betriebssystem Haiku, das vollständig kompatibel sein soll mit dem um die Jahrtausendwende eingestellten BeOS. Seit einigen Wochen liegt endlich eine erste Betaversion vor, die BeOS ein wenig in die Moderne verhilft.
Von Tim Schürmann


    1. Bundesarbeitsgericht: Amazon kann Streikende auf Parkplatz nicht verbieten
      Bundesarbeitsgericht
      Amazon kann Streikende auf Parkplatz nicht verbieten

      Streikversammlungen auf dem Firmenparkplatz kann Amazon nicht verbieten, weil das angeblich gefährlich sei. Eine kurzzeitige, situative Beeinträchtigung seines Besitzes muss Amazon hinnehmen, urteilte das Bundesarbeitsgericht.

    2. MBBF: LTE wird der Basislayer von 5G
      MBBF
      LTE wird der Basislayer von 5G

      Mit dem Rollout von 5G verliert 4G nicht an Bedeutung. Die Netze werden verschmelzen. Für die Telefónica Deutschland bleibt LTE sogar unerlässlich.

    3. Fallout 76: Bethesda entkoppelt Framerate und Physik
      Fallout 76
      Bethesda entkoppelt Framerate und Physik

      Ein jahrelanges Ärgernis der Gamebryo- und später der Creation-Engine wurde behoben: Der neue Patch für Fallout 76 ermöglicht mehr als 60 fps, ohne dass die Physik nach einer Weile verrücktspielt.


    1. 19:49

    2. 19:01

    3. 18:44

    4. 17:09

    5. 16:20

    6. 16:15

    7. 16:04

    8. 15:49