• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    SHINIGAMIAndroid - otevřená mobilní platforma
    PISKVOR
    PISKVOR --- ---
    PISKVOR: (i proto jsem napsal "appka a SMS skrz jedno zařízení není 2FA": kompromitovat zařízení lze, a jsi zpět na 1FA + falešný pocit sucha a bezpečí jako bonus)
    PISKVOR
    PISKVOR --- ---
    FALCO: Ale jo: sice *uvidí* na tvoje data, ale pokud nezkompromituje oba kanály, nemá možnost něco *provádět* za tebe. Pokud teda se autentizuje každá zajímavá operace a nejen login - ještě jsem nepotkal banku, která by se spokojila s 2FA loginem, a huvnitř už ti dala volný výběh: autorizuju furt und furt, každou transakci (nebo dávku), byť je to méně komfortní.

    Neboli všechna rizika to neeliminuje, ale dost omezí.
    FALCO
    FALCO --- ---
    PISKVOR: 2FA ti zrovna s man in the middle moc nepomůže AFAIK. (ale jinak ji teda doporučuju)
    PISKVOR
    PISKVOR --- ---
    PISKVOR: A pochopitelně dvoufaktorová autentizace - ale bacha, pokud máš appku i SMS v jednom zařízení, tak to věru není 2FA. HW token, holt.
    PISKVOR
    PISKVOR --- ---
    E42: No, problém je u toho "korektně napsaný" - pokud ta appka schroupe libovolný HTTPS certifikát (slabý, jiný než správný, sebepodepsaný, expirovaný, revokovaný) je uživatel v prdeli i s ambulancí. To bohužel jako uživatel nemáš šanci poznat (pokud ti to vývojář nějak nezpřístupní).

    Ze strany uživatele bych doporučoval připojovat se přes VPN do důvěryhodného bodu - i Vodafone svého času dělal MITM, i když "jen" kvůli vkládání vlastních reklam, a "jen" do HTTP.
    E42
    E42 --- ---
    PISKVOR: Ne ne, vůbec, zajímám se spíš teoreticky, jestli je to něco, co by tvůrci třeba bankovních aplikací měli/mohli chtít implementovat v zájmu vyšší bezpečnosti. Ale chápu, že u korektně napsaný aplikace je to asi zbytečný. Blbý akorát je, že jako uživatel moc nedokážu zjistit, jestli je konkrétní aplikace z tohohle hlediska dobře napsaná. Takže při připojování k bance a správci hesel se se pro sichr ručně odpojuju od WiFi, i když tuším, že je to spíš asi placebo.
    PISKVOR
    PISKVOR --- ---
    E42: Důvěryhodnost připojení je irelevantní. Pokud si appka dokáže vytvořit bezpečný tunel (třeba HTTPS - ona ta validace cert chainu je právě na tohle), je úplně fuk, kudy ta data tečou. Pokud selže, připojení je nedůvěryhodné bez ohledu na typ; pokud je útočník schopen podvrhnout certifikát lokálně v zařízení, máš výrazně horší problémy než připojení.

    Neboli pokud tě zajímá zabezpečení spodních vrstev OSI, je to huge red flag - nechceš ta data posílat v plaintextu, že ne?
    B3DA
    B3DA --- ---
    E42: me se zda, ze k tomu aby to appka delala automaticky (zapinala / vypinala data nebo wifi) normalne nema pravomoc (neberu-li v uvahu root), zajistit aby se neco neposilalo prez nejaky typ pripojeni ale urcite jde.. imho ale pak bude app max jen odkazovat do patricnyho nastaveni s tim, ze si to uzivatel musi prehodit sam
    JYYNA
    JYYNA --- ---
    E42: matně si vzpomínám, že v API něco takového je/bylo. nejspíš to šlo skrzevá ConnectivityManager
    E42
    E42 --- ---
    Tušíte někdo, jestli si může aplikace vynutit použití mobilních dat namísto aktivního WiFi připojení? Use case jsou aplikace přenášející malé množství citlivých dat (typicky mobilní bankovnictví), kde je mobilní připojení bezpečnější než neznáma WiFi.
    Je mi jasné, že jako uživatel si to dokážu vynutit správně nastaveným firewallem, ale jde mi o to, jestli to může zajistit vývojář aplikace. Dík.
    PETRPEDROS
    PETRPEDROS --- ---
    Když bych si pořídil neoriginální pouzdro typu kniha s magnetem má to vliv na kompas nebo nějaké funkce přístroje? Například klasický magnet ovlivňuje magnetický kompas v telefonech tak jestli s tím němáte někdo zkušenost?
    FAT
    FAT --- ---
    Snad mě nebudete kamenovat za lamí dotaz - Mám ASUS ZenPhone Laser Android 5.0.2 a když si chci udělat printscreen displeje, tak se mi to podaří tak jednou z padesáti pokusů. Obě tlačítka fungují naprosto normálně. Ale fakt hafo pokusů na jeden úspěšný. Už jsem telefon 2x dával do továrního nastavení, ne kvůli tomuhle, ale stejně to nefunguje...
    Díky.
    JEREMIUS
    JEREMIUS --- ---
    JEREMIUS: Taťka má stejný telefon a tvrdil mi, že jemu to sedí perfektně. Ale osobně jsem to ještě neviděl.
    LEF
    LEF --- ---
    DANCHEZ: to je hodne podezrela cena. ja ji kupoval pred 2 mesici o 10k draz (ofiko distribuce).
    JEREMIUS
    JEREMIUS --- ---
    Máte někdo Samsung Galaxy S5 Neo? Sedí vám kryt perfektně po celém obvodu?
    Všiml jsem si, že dole u konektoru u jedné strany je mezera o trošku větší. A jde mi to tam i trošku domáčknout, ale nedrží to tam, vždy se škvíra vrátí. Takže mám obavy, jak to bude se slibovanou vodotěsností. Potřeboval bych vědět, jestli je to normální, nebo to mám reklamovat.
    Tady na fotce je to vidět vpravo vedle konektoru https://goo.gl/photos/NxDWVcocYVrBr8oT7
    DANCHEZ
    DANCHEZ --- ---
    MAKROUSEK: jako jasne, z5c se da sehnat za necelych devet.. ale nemam moc duveru v podobny shopy
    Sony Xperia | Sony Xperia Z5 Compact Coral | Mobil se zárukou
    http://www.mobilsezarukou.cz/...zarukou/eshop/47-1-Sony-Xperia/0/5/2934-Sony-Xperia-Z5-Compact-Coral
    MAKROUSEK
    MAKROUSEK --- ---
    DANCHEZ: Z3C nebo Z5C. Nemas co resit.
    DANCHEZ
    DANCHEZ --- ---
    MINER: za xko chteji dvacku (!) a je to padlo.. akorat to G vypada snesitelne (5 palcu) ale koukam ze je to dost stary foun.. jeste me napadlo HTC One mini 2 .. taky stary foun ale uz je na snesitelne cene
    MINER
    MINER --- ---
    DANCHEZ: Jo, Moto vypadaj zajímavě, ale ty nové mi přijde že zvětšují nad únosnou mez. Původní Moto X nebyla o moc větší než Z1-5 Compact, žeď to jsou pádla. Ale nevím, jestli je nějaký menší, protože na webu radši nepíšou ani rozměry. Zajímavé je, že mají řadu (myslím Force) s „nerozbitným“ displejem. Čistej Android bez píčovin s rychlými updaty.
    DANCHEZ
    DANCHEZ --- ---
    jo koukal jsem taky na Lenovo Moto G
    DANCHEZ
    DANCHEZ --- ---
    pomalu uz mi odchazi Sony Z1 compact a novejsi ztka jsou drahy a zas tak moc se mi nelibi, co by jste doporucili za kompaktni telefon (do 5 palcu).. a do 8 tisic?
    zaujal mě OnePlus X a Samsung Galaxy A3 (2016) ale jsem otevřený alternativám
    Kliknutím sem můžete změnit nastavení reklam