Abo
  1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › on{X}: Microsoft macht…

Sicherheit

  1. Thema

Neues Thema Ansicht wechseln


  1. Sicherheit

    Autor: kayozz 06.06.12 - 10:07

    Das Berechtigungskonzept von Android (man bestätigt bei der Installation einer Anwendung alle benötigten Rechte, und nicht erst in dem Moment des Zugriffs (z.B. 1x erlauben/immer erlauben, verweigern) ist bei solchen Anwendungen gefährlich.

    Da muss nur jemand den eigenen Facebook-Account hacken und kann von Remote SMS verschicken und kostenpflichtige Nummern anrufen.

    Bin selber Android Nutzer/Fan, aber das Berechtigungskonzept würde ich mir manchmal etwas steuerbarer wünschen (z.B. wenn eine Anwendung nur "Internet/Standort"-Berechtigung braucht um Werbung anzuzeigen, würde ich das glatt verweigern.

  2. Re: Sicherheit

    Autor: tomate.salat.inc 06.06.12 - 10:25

    Wieso, du weißt von Anfang an, was die App darf und was nicht. Natürlich wäre es aus Anwendersicht praktisch, wenn man einfach Berechtigungen entziehen dürfte, aber nur auf den ersten Blick.

    Viele Anwendungen im Store finanzieren sich durch die Werbung (man bekommt schon für die reine Anzeige Geld). Verbietet man jetzt der App, dass sie ins Internet gehen darf, dann kann diese App keine Werbung mehr Anzeigen. Was wäre die folge daraus? Viele Apps die früher kostenlos waren, würden jetzt kostenpflichtig werden.

    Manchmal ist die Werbung echt böse platziert, aber i.d.R ist es ein guter Kompromiss für Anwender+Entwickler. Der Anwender bekommt kostenfrei seine App und der Entwickler wird für seine Arbeit entlohnt.

  3. Re: Sicherheit

    Autor: DerDon 06.06.12 - 10:36

    @kayozz:
    Also wenn du großen wert auf die freigabe von rechten legst und es dir wirklich wichtig ist, dann musst du dein smartphone halt rooten,
    Danach hat man alle möglichkeiten den apps einzelne berechtigungen wieder zu entziehen und andere freigaben zu lassen.
    Geht z.b. mit lbe privacy guard, damit kann man steuern welche apps auf kontakte, sms, internet, anrufe....zugreifen dürfen.
    und man kann auch einstellen, dass eine app jedesmal fragen muss, ob es die jeweilige berechtigung erhält.
    Dann hättest du was du möchtest!

    @tomate.salat.inc:
    natürlich sollte man nicht die komplette werbung blocken, damit die entwickler weiterhin geld verdienen, allerdings hat das eigentlich weniger mit den rechten zu tun, da es dafür auch einfache werbungsblocker gibt.
    Mit der einschränkung der rechte kannst du allerdings festlegen, dass z.b. ein spiel nicht deine kontakte und sms lesen darf oder dass es keine kostenpflichtigen sms/anrufe tätigen darf.....



    1 mal bearbeitet, zuletzt am 06.06.12 10:40 durch DerDon.

  4. Re: Sicherheit

    Autor: tomate.salat.inc 06.06.12 - 12:04

    @DerDon:
    Ich streite ja nicht ab, dass es auch sinnvoll sein kann*. Aber dafür sollte es dann einen geplanten und für beide Parteien (Entwickler/Anwender) zufriedenstellenden Lösungsweg geben.
    Weiterhin ist Problematisch: das Deaktivieren von Rechten kann zu Fehlern im Programm führen. Wenn jetzt der Anwender einen Fehlerbericht sendet (indem nicht vermerkt ist, dass das Recht deaktiviert wurde) ist das Problem für den Entwickler garnicht oder nur schwer nachzuvollziehen. Hier sollte also auch die Kommunikation stimmen.

    *= Einige Apps update ich nicht mehr, weil diese eben Rechte fordern, die ich ihnen nicht einräumen will (z.B. Kontakte lesen).



    1 mal bearbeitet, zuletzt am 06.06.12 12:05 durch tomate.salat.inc.

  5. Re: Sicherheit

    Autor: kayozz 06.06.12 - 12:23

    @tomate.salat.inc

    Ich finde das Konzept, das die Berechtigungen bei der Installation abgefragt werden ist ein guter Kompromiss zwischen Bedienbarkeit, Aufwand bei der App-Entwicklung und Sicherheit.

    Aber bei bestimmten Berechtigungen, z.B.
    - Internetzugriff
    - GPS/GSM Location
    - Alles was kosten verursachen kann (SMS versenden, Anrufe tätigen)
    - Lesen von privaten Daten (Kontakte, SMS)
    wäre ich für einen Opt-In Mechnismus

    Gerade diese App von Microsoft ist ein schönes Beispiel.
    Wenn ich kein Script nutze, das SMS versendet, würde ich das Recht nicht gewähren. Wenn dann jemand meinen Account hackt und ein Script manipliert und das Ergebnis auf mein Handy puscht, würde nichts passieren. So aber ist die App ein riesiges Sicherheitsrisiko, da Sie ja schon bei der Installation alle Berechtigungen gewährt bekommt, die von der API theoretisch genutzt werden können.

  6. Re: Sicherheit

    Autor: samy 06.06.12 - 12:24

    kayozz schrieb:
    --------------------------------------------------------------------------------

    > Bin selber Android Nutzer/Fan, aber das Berechtigungskonzept würde ich mir
    > manchmal etwas steuerbarer wünschen (z.B. wenn eine Anwendung nur
    > "Internet/Standort"-Berechtigung braucht um Werbung anzuzeigen, würde ich
    > das glatt verweigern.

    --> Root ---> LBE und andere Apps...

    -------------------------------------------------
    Für offene Standards
    -------------------------------------------------

  7. Re: Sicherheit

    Autor: tomate.salat.inc 06.06.12 - 13:34

    @kayozz: Ich stimme dir da ja mehr oder weniger zu (was weniger ist, kann man aus meinen vorherigen Posts gut erschließen ;-)). Man muss als Anwender eben entscheiden, was man sich da installiert. Wer eine Wallpaper-app installiert die SMS-versenden oder telefonieren darf oder die Berechtigungen gar ganz ignoriert, der ist imho selber schuld und hats verdient zu zahlen. Seriöse Angebote imho i.d.R sinnvolle Rechteverteilungen (NICHT IMMER!).

    > Gerade diese App von Microsoft ist ein schönes Beispiel. [...] Wenn dann jemand meinen Account hackt
    Die App wird auch immer ein Sicherheitsrisiko bleiben. Angenommen du hast das Feature: Rechte widerrufen und man fragt dich (einmal[reicht imho]) ob die App SMS versenden darf. Du willst das und deswegen hast du das einmal bestätigt und die Rechte natürlich nicht widerrufen. Wird da jetzt irgendwie dein Account gehackt, dann kann der lustig SMS versenden, bis du das merkst ist es zu spät.

    Einzige Möglichkeit die ich hier sehe, wäre z.B: bei jedem (kostenpflichtigen) Dienst eine Meldung bringen. Auch wenn du das für jede App einzeln einstellen kannst, wird dich das sicher nerven, wenn du jedes mal erst bestätigen musst. Zumal hier die Ereignisse Event-basiert ausgeführt werden. Z.b. beim verlassen des Büros. Du denkst die App informiert die Frau zuhause, aber in Wahrheit wartet die auf erneute Bestätigung.

    Meiner Erfahrung nach geht Komfort immer auf kosten der Sicherheit, hier haben wir imho aber eine gute Lösung die gerne so bleiben darf(auch wenn diese in Manchen Punkten sicher ausbaufähig ist).

  8. Re: Sicherheit

    Autor: kayozz 06.06.12 - 17:28

    tomate.salat.inc schrieb:
    --------------------------------------------------------------------------------
    > Die App wird auch immer ein Sicherheitsrisiko bleiben. Angenommen du hast
    > das Feature: Rechte widerrufen und man fragt dich (einmal) ob die App SMS
    > versenden darf. Du willst das und deswegen hast du das einmal bestätigt und
    > die Rechte natürlich nicht widerrufen. Wird da jetzt irgendwie dein Account
    > gehackt, dann kann der lustig SMS versenden, bis du das merkst ist es zu
    > spät.

    Dafür gäbe es ja mehrere Möglichkeiten in der Abfrage
    - Einmal erlauben
    - Für Zeitraum X erlauben

    Zweitens hat die App immer das Recht SMS zu versenden, bei jedem Nutzer, der sie installiert hat, auch wenn die Funktion nie genutzt wird.
    Sagen wir mal 90% der Nutzer die die App installiert haben, hätten, (wenn es möglich wäre) nie bestätigt, dass SMS versendet werden dürfen, dann wären diese 90% auch nicht angreifbar.

    Ich denke z.B. gerade an Teamviewer (Fernsteuerung für Windows).
    Die Software kann sowohl dafür verwendet werden, entfernte Rechner fernzusteuern, als auch den eingenen Rechner für die Fernsteuerung freizuschalten.
    Wenn ich die Software nur dafür nutze, andere Rechner fernzusteuern, wieso sollte ich dann meinen Rechner ebenfalls freigeben, nur weil die Software das kann?

  9. Re: Sicherheit

    Autor: Tiberius Kirk 06.06.12 - 19:48

    tomate.salat.inc schrieb:
    --------------------------------------------------------------------------------
    > Wieso, du weißt von Anfang an, was die App darf und was nicht. Natürlich
    > wäre es aus Anwendersicht praktisch, wenn man einfach Berechtigungen
    > entziehen dürfte, aber nur auf den ersten Blick.

    Im Gegenteil: erst auf den zweiten Blick erschließt sich dessen Wert.

    > Viele Anwendungen im Store finanzieren sich durch die Werbung (man bekommt
    > schon für die reine Anzeige Geld). Verbietet man jetzt der App, dass sie
    > ins Internet gehen darf, dann kann diese App keine Werbung mehr Anzeigen.
    > Was wäre die folge daraus? Viele Apps die früher kostenlos waren, würden
    > jetzt kostenpflichtig werden.

    So what? Bin ich verantwortlich für den Verdienst des Anbieters? Lieber zahle ich etwas für eine App als ihr irgendwelche Rechte einzuräumen, die sie nicht wirklich braucht. Gute Beispiele sind Verschlüsselungs-Apps, die im aufgeschlossenen Zustand Werbe-Buttons einblenden, auf die man _sehr_ leicht bei normaler Bedienung abrutschen kann, oder solche wie AndroidPit, die erst als Lizenzvermittler auftreten, so dass man Updates nur darüber bekommt, und dann in späteren Updates plötzlich das (ursprünglich nicht verlangte) Recht verlangen, kostenpflichtige Dinge zu tun. Wenn man das nachträglich abriegeln könnte, wäre man sicher -und nur dann.

    > Manchmal ist die Werbung echt böse platziert, aber i.d.R ist es ein guter
    > Kompromiss für Anwender+Entwickler. Der Anwender bekommt kostenfrei seine
    > App und der Entwickler wird für seine Arbeit entlohnt.

    Mumpitz: wenn etwas nichts kostet, ist der Kunde die Ware. Mit Werbung zahlt er jedoch in Wahrheit in der Summe deutlich mehr als wenn er direkt für das bezahlt, was er haben möchte.

    Gratisversionen sind willkommen, aber in erster Linie zum ausprobieren, ob man das Ding wirklich haben möchte. Oder natürlich auch, wenn der Autor der Menschheit etwas Gutes tun möchte. In jedem Fall muss es dann aber wirklich gratis sein, und nicht nur angeblich gratis, wobei der Anbieter sich das Geld auf irgendwelchen verborgenen Wegen holt...

    Gruß
    Tiberius

  10. Re: Sicherheit

    Autor: Tiberius Kirk 06.06.12 - 19:54

    DerDon schrieb:
    --------------------------------------------------------------------------------
    > @kayozz:
    > Also wenn du großen wert auf die freigabe von rechten legst und es dir
    > wirklich wichtig ist, dann musst du dein smartphone halt rooten,

    Das ist soo einfach nicht. Nicht nur für Otto Normalanwender ist das nix, auch ich als Linux-Anwender habe recht bald aufgegeben. Offenbar gibt es Lösungen nur für Windows, und auch da sind die Infos so ungenau, dass ich nicht sicher sein konnte, auch ganz bestimmt nicht mein nicht eben billiges Smartphone zu bricken statt zu rooten.

    > natürlich sollte man nicht die komplette werbung blocken, damit die
    > entwickler weiterhin geld verdienen, allerdings hat das eigentlich weniger
    > mit den rechten zu tun, da es dafür auch einfache werbungsblocker gibt.

    Werbungsblocker für alle Arten von Werbung und universell für sämtliche Apps? Da bin ich jetzt sehr neugierig geworden: wie heißen denn die?

    > Mit der einschränkung der rechte kannst du allerdings festlegen, dass z.b.
    > ein spiel nicht deine kontakte und sms lesen darf oder dass es keine
    > kostenpflichtigen sms/anrufe tätigen darf.....

    ...oder irgendwelche Daten versehentlich versenden, von möglichen Fehlern und Lücken in den Apps gar nicht erst zu reden...

    Gruß
    Tiberius

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Villeroy & Boch AG, Mettlach
  2. operational services GmbH & Co. KG, Wolfsburg, Braunschweig
  3. über experteer GmbH, München, Erfurt
  4. CPA Software Consult GmbH, Langenfeld

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-79%) 12,50€
  2. (-78%) 11,00€
  3. 4,31€
  4. (-40%) 29,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


MINT: Werden Frauen überfördert?
MINT
Werden Frauen überfördert?

Es gibt hierzulande einige Förderprogramme, die mehr Frauen für MINT begeistern und in IT-Berufe bringen möchten. Werden Männer dadurch benachteiligt?
Von Valerie Lux

  1. Recruiting Wenn das eigene Wachstum zur Herausforderung wird
  2. Recruiting Alle Einstellungsprozesse sind fehlerhaft
  3. LoL Was ein E-Sport-Trainer können muss

Elektrautos auf der IAA: Die Gezeigtwagen-Messe
Elektrautos auf der IAA
Die Gezeigtwagen-Messe

IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
Ein Bericht von Dirk Kunde

  1. Elektromobilität Stromwirtschaft will keine Million öffentlicher Ladesäulen
  2. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  3. Batterieprobleme Auslieferung des e.Go verzögert sich

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

  1. Open Source: NPM-Chef geht schon nach wenigen Monaten wieder
    Open Source
    NPM-Chef geht schon nach wenigen Monaten wieder

    Nach nicht einmal einem Jahr Dienstzeit ist der Chef von NPM zurückgetreten. Das Unternehmen mit dem gleichnamigen Javascript-Paketmanager hat in diesem Jahr einige Mitarbeiter verloren, Arbeitnehmerklagen verhandeln müssen und eine aussichtsreiche Konkurrenz bekommen.

  2. Google: Chrome soll bessere Tab-Verwaltung bekommen
    Google
    Chrome soll bessere Tab-Verwaltung bekommen

    Der Chrome-Browser von Google soll künftig noch einfacher nutzbar sein. Die Entwickler setzen dafür Verbesserungen an der Tab-Verwaltung um. Links sollen sich einfach vom Smartphone auf den Rechner übertragen lassen und der Browser soll individueller werden.

  3. Samsung: Galaxy Fold bleibt extrem empfindlich
    Samsung
    Galaxy Fold bleibt extrem empfindlich

    Die versprochenen Überarbeitungen von Samsung an dem Falt-Smartphone Galaxy Fold, scheinen nach dem missglückten Marktstart doch nicht weitreichend genug zu sein. Eine offizielle Pflegeanleitung zeigt, wie empfindlich das Gerät weiterhin ist.


  1. 12:30

  2. 11:51

  3. 11:21

  4. 10:51

  5. 09:57

  6. 19:00

  7. 18:30

  8. 17:55