PISKVOR: A pochopitelně dvoufaktorová autentizace - ale bacha, pokud máš appku i SMS v jednom zařízení, tak to věru není 2FA. HW token, holt.

E42: No, problém je u toho "korektně napsaný" - pokud ta appka schroupe libovolný HTTPS certifikát (slabý, jiný než správný, sebepodepsaný, expirovaný, revokovaný) je uživatel v prdeli i s ambulancí. To bohužel jako uživatel nemáš šanci poznat (pokud ti to vývojář nějak nezpřístupní).

Ze strany uživatele bych doporučoval připojovat se přes VPN do důvěryhodného bodu - i Vodafone svého času dělal MITM, i když "jen" kvůli vkládání vlastních reklam, a "jen" do HTTP.

E42: Důvěryhodnost připojení je irelevantní. Pokud si appka dokáže vytvořit bezpečný tunel (třeba HTTPS - ona ta validace cert chainu je právě na tohle), je úplně fuk, kudy ta data tečou. Pokud selže, připojení je nedůvěryhodné bez ohledu na typ; pokud je útočník schopen podvrhnout certifikát lokálně v zařízení, máš výrazně horší problémy než připojení.

Neboli pokud tě zajímá zabezpečení spodních vrstev OSI, je to huge red flag - nechceš ta data posílat v plaintextu, že ne?

E42: me se zda, ze k tomu aby to appka delala automaticky (zapinala / vypinala data nebo wifi) normalne nema pravomoc (neberu-li v uvahu root), zajistit aby se neco neposilalo prez nejaky typ pripojeni ale urcite jde.. imho ale pak bude app max jen odkazovat do patricnyho nastaveni s tim, ze si to uzivatel musi prehodit sam