En god nyhed: Unified Attestation - et Google Play Integrity API er under udvikling, iniativ fra @volla og med deltagelse af blandt andet @murena!
-
@anderslund Nogen der kort, men teknisk, kan forklare hvad en app-udvikler får ud af dette API.
Ikke bare "det øger sikkerheden - og det er best practise" men "det fjerner denne type angreb på bekostning af denne funktionalitet".
Hvorfor er det en god ting og ikke bare en workaround for sikkerhedsteater?
@pmakholm I mine øjne er det en god ting hvis det betyder at man ikke skal tvinges til at underkaste sig googles (eller apples) totalovervågning hvis man vil bruge mobilbank, mobilepay og offentlige apps.
Som appudvikler giver det dig potentielt mulighed for at tilbyde din app til brugere som vil have et googlefrit android-system.
-
@anderslund @volla @murena Jeg kunne ikke lige se af linket, at Murena også deltager?
-
@anderslund @volla @murena Jeg kunne ikke lige se af linket, at Murena også deltager?
-
@pmakholm I mine øjne er det en god ting hvis det betyder at man ikke skal tvinges til at underkaste sig googles (eller apples) totalovervågning hvis man vil bruge mobilbank, mobilepay og offentlige apps.
Som appudvikler giver det dig potentielt mulighed for at tilbyde din app til brugere som vil have et googlefrit android-system.
@anderslund Det var ikke rigtigt et svar på det spørgdmål jeg prøvede at stille.
Jeg et med på at det er en fordel ikke at være afhængig af Google. Men "uafhængig af Google" er ikke en funktionalitet. Det forklarer ikke hvilket problem API'et løser.
-
@anderslund Det var ikke rigtigt et svar på det spørgdmål jeg prøvede at stille.
Jeg et med på at det er en fordel ikke at være afhængig af Google. Men "uafhængig af Google" er ikke en funktionalitet. Det forklarer ikke hvilket problem API'et løser.
@pmakholm Ideen er vel at det skal verificere at den app der bruges er den det forventes at være.
Jeg er ikke klog nok til at kunne afgøre om det har betydning eller mening, men siden fx banker og digitaliseringsstyrelsen går så meget op i det, er det en efterspurgt funktion.
-
@pmakholm Ideen er vel at det skal verificere at den app der bruges er den det forventes at være.
Jeg er ikke klog nok til at kunne afgøre om det har betydning eller mening, men siden fx banker og digitaliseringsstyrelsen går så meget op i det, er det en efterspurgt funktion.
@anderslund @pmakholm det er vel stadig at nogen skriver under på at de har kontrol over din telefon
-
@anderslund @pmakholm det er vel stadig at nogen skriver under på at de har kontrol over din telefon
Så vidt jeg kan læse det, verificerer man at appens fingeraftryk svarer til det man har fra app-storen.
-
@anderslund @pmakholm men så kan den stadig hackes fra operativsystemet
-
Jeg glæder mig over at nogen tager fat i dette, fordi det er et problem der skal løses hvis man skal kunne bruge visse apps på (google-) frie mobil-operativ-systemer. Jeg er naiv/dum nok til at forestille mig at de folk hos Volla og murena, og andre parthavere, faktisk har hjerner.
-
Jeg glæder mig over at nogen tager fat i dette, fordi det er et problem der skal løses hvis man skal kunne bruge visse apps på (google-) frie mobil-operativ-systemer. Jeg er naiv/dum nok til at forestille mig at de folk hos Volla og murena, og andre parthavere, faktisk har hjerner.
@svuorela @pmakholm @anderslund Det er ikke nødvendigvis et problem der skal løses. Man kunne også løse det problem, at din bank lider af den opfattelse, at du ikke skal have lov til at tilgå deres selvbetjening fra en computer, du har kontrol over. En opfattelse de sjovt nok kun har for computere i lommeformat
-
@svuorela @pmakholm @anderslund Det er ikke nødvendigvis et problem der skal løses. Man kunne også løse det problem, at din bank lider af den opfattelse, at du ikke skal have lov til at tilgå deres selvbetjening fra en computer, du har kontrol over. En opfattelse de sjovt nok kun har for computere i lommeformat
Det mobilepay og mobilbankapps'ene gør, er jo at suspendere brugen af MitID i alt fald delvis. Du kan godt bruge netbank på mobil, også på googlefri mobiler. Det er en del besværligere, hvilket i nogen grad er et (web-) designproblem.
Med mobilepay/mobilbank identificerer du dig én gang, derefter blot et swipe og/eller en pinkode, istedet for mitID. Efter min mening burde mobilepay blot tilbyde at identificere med mitID pr betaling. Bankerne kunne gøre det samme.
-
@anderslund @svuorela @pmakholm jeg er ikke ekspert, men mit indtryk er at det handler om at en server skal vide med sikkerhed at et api kald kommer fra den rigtige app, så man ikke f.eks. kan lave en MenID app som ligner og opfører sig som NemID.
-
@anderslund @svuorela @pmakholm jeg er ikke ekspert, men mit indtryk er at det handler om at en server skal vide med sikkerhed at et api kald kommer fra den rigtige app, så man ikke f.eks. kan lave en MenID app som ligner og opfører sig som NemID.
-
Det mobilepay og mobilbankapps'ene gør, er jo at suspendere brugen af MitID i alt fald delvis. Du kan godt bruge netbank på mobil, også på googlefri mobiler. Det er en del besværligere, hvilket i nogen grad er et (web-) designproblem.
Med mobilepay/mobilbank identificerer du dig én gang, derefter blot et swipe og/eller en pinkode, istedet for mitID. Efter min mening burde mobilepay blot tilbyde at identificere med mitID pr betaling. Bankerne kunne gøre det samme.
@anderslund @svuorela @pmakholm Nordeas iPhone-app beder om MitID ved hver ikke-trivielle transaktion, pinkode er ikke nok. Jeg har ikke brugt Android-versionen i nogle år, men jeg antager det er det samme. Og det er vel grundlæggende inkonsistent at kræve Google Play Integrity i en app, der opfører sig på samme måde som webbank gør på en linux-pc.
-
@anderslund @svuorela @pmakholm Nordeas iPhone-app beder om MitID ved hver ikke-trivielle transaktion, pinkode er ikke nok. Jeg har ikke brugt Android-versionen i nogle år, men jeg antager det er det samme. Og det er vel grundlæggende inkonsistent at kræve Google Play Integrity i en app, der opfører sig på samme måde som webbank gør på en linux-pc.
-
J jeppe@uddannelse.social shared this topic
-
@anderslund @volla @murena Ok, tak! Jeg fik også et svar i murena-community men har ikke fået læst det endnu: https://community.e.foundation/t/article-paying-without-google/80205
-
@anderslund @svuorela @pmakholm jeg er ikke ekspert, men mit indtryk er at det handler om at en server skal vide med sikkerhed at et api kald kommer fra den rigtige app, så man ikke f.eks. kan lave en MenID app som ligner og opfører sig som NemID.
@jpkolsen @anderslund @pmakholm men for at det kan virke helt skudsikkert er der behov for kontrol over hele kæden fra Secure boot i hardware der godkender os der så kan validere apps.
Hvis noget i den kæde er brudt kan der lyves.
-
J jwcph@helvede.net shared this topic
-
@jpkolsen @anderslund @pmakholm men for at det kan virke helt skudsikkert er der behov for kontrol over hele kæden fra Secure boot i hardware der godkender os der så kan validere apps.
Hvis noget i den kæde er brudt kan der lyves.
@svuorela @anderslund @pmakholm interessant. Jeg troede egentlig bare det var betroet autoritet der sammenlignede nogle hashes eller noget i den stil, men jeg har aldrig sat mig ind i arkitekturen
-
@svuorela @anderslund @pmakholm interessant. Jeg troede egentlig bare det var betroet autoritet der sammenlignede nogle hashes eller noget i den stil, men jeg har aldrig sat mig ind i arkitekturen
@jpkolsen @anderslund @pmakholm men hashes af hvad? Og foretaget af hvem?
-
@jpkolsen @anderslund @pmakholm men hashes af hvad? Og foretaget af hvem?
@svuorela @anderslund @pmakholm du siger noget…
