1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Mozilla Addons: Kritik an…

Alles Blödsinn

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Alles Blödsinn

    Autor: kayozz 18.02.15 - 08:42

    Die Kritik geht größtenteils am Thema vorbei.

    Software digitale zu signieren ist doch ein gutes Mittel um sicherzustellen, dass das was der Entwickler programmiert hat auch beim Endkunden ankommt.

    > Mozilla mache sich dadurch erpressbar, schreibt ein weiterer Anwender. Der Firefox-Entwickler könnte dazu gezwungen werden, Erweiterungen abzulehnen, die Regierungen oder Unternehmen nicht gefielen

    Ich drehe das Argument einfach mal um. Wie will Mozilla ohne digitale Signaturen sicherstellen, dass nicht etwa Regierungen per Man-In-The-Middle Attacke eine Erweiterung manipulieren, bevor Sie beim Kunden ankommt?

    Aber: Der Schritt, in der Finalen Version keine unsignierten Addons zuzulassen, würde IMHO dazu führen, dass sich Personen, die sich unsignierte Erweiterungen installieren wollen, sich Nightly-Builds installieren, die ggf. Sicherheitslücken enthalten. Das sollte Mozilla meiner Meinung überdenken.

  2. Re: Alles Blödsinn

    Autor: Noren 18.02.15 - 08:55

    Sofern Mozilla wirklich zu strikte Regeln für Addons einführt, wirds schnell mal einen Fork geben, bei der die Überprüfung optional ist.

  3. Re: Alles Blödsinn

    Autor: andy01123 18.02.15 - 09:33

    Um Man-in-the-Middle Angriffe zu unterdrücken, können andere Verfahren benutzt werden. Bei Man-in-the-Middle angriffen muss der Transportweg gesichert werden. Dafür gibt's TLS.

  4. Re: Alles Blödsinn

    Autor: kayozz 18.02.15 - 12:45

    andy01123 schrieb:
    --------------------------------------------------------------------------------
    > Um Man-in-the-Middle Angriffe zu unterdrücken, können andere Verfahren
    > benutzt werden. Bei Man-in-the-Middle angriffen muss der Transportweg
    > gesichert werden. Dafür gibt's TLS.

    Digital signierte Software gibt es auch woanders (Windows / Android / IOS / Konsolen). Im Gegensatz zu TLS, wo nur die Übertragung gesichert wird bietet das entscheidende Vorteile.
    Zum einen kann der Client die Ausführung verweigern, wenn die Signatur nicht stimmt, damit sind nachträgliche Modifikationen ausgeschlossen.
    Zum anderen habe ich als Entwickler die Scherheit, dass die Drittanbieterplattform, die meine Software verteilt diese nicht manipuliert.

    Schönes Beispiel Android. Dort hat jede Anwendung eine eindeutige Id, z.B. com.firma.passwortverwaltung. Jetzt ist ist unter Android für eine Drittanwendung nicht möglich an die privaten Daten von "passwortverwaltung" zu gelangen.
    Wenn ein dritter aber seine Schadsoftware nun selbst "com.firma.passwortverwaltung" nennt und installiert, würde diese die ursprüngliche Anwendung ersetzen und hat Zugriff auf die Daten. Damit dies nicht passiert, ist ein Update nur möglich, wenn die Signatur, die nur dem Entwickler bekannt sein sollte, identisch ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Senior Anwendungsentwickler (m/w/d) Depotbestand
    Deutsche WertpapierService Bank AG, Frankfurt am Main, Düsseldorf
  2. Java-Entwickler (m/w/d)
    e.bootis, Essen
  3. Ingenieur für Applikation / Techniker für Applikation (m/w/d)
    Viscom AG, Hannover
  4. Product Owner - Store Applications (gn)
    HORNBACH Baumarkt AG, Bornheim bei Landau in der Pfalz

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 6,99€
  2. 25,99€
  3. Teilnahmeschluss 28.09., 19 Uhr


Haben wir etwas übersehen?

E-Mail an news@golem.de