En god nyhed: Unified Attestation - et Google Play Integrity API er under udvikling, iniativ fra @volla og med deltagelse af blandt andet @murena!
-
@anderslund Det var ikke rigtigt et svar på det spørgdmål jeg prøvede at stille.
Jeg et med på at det er en fordel ikke at være afhængig af Google. Men "uafhængig af Google" er ikke en funktionalitet. Det forklarer ikke hvilket problem API'et løser.
@pmakholm Ideen er vel at det skal verificere at den app der bruges er den det forventes at være.
Jeg er ikke klog nok til at kunne afgøre om det har betydning eller mening, men siden fx banker og digitaliseringsstyrelsen går så meget op i det, er det en efterspurgt funktion.
-
@pmakholm Ideen er vel at det skal verificere at den app der bruges er den det forventes at være.
Jeg er ikke klog nok til at kunne afgøre om det har betydning eller mening, men siden fx banker og digitaliseringsstyrelsen går så meget op i det, er det en efterspurgt funktion.
@anderslund @pmakholm det er vel stadig at nogen skriver under på at de har kontrol over din telefon
-
@anderslund @pmakholm det er vel stadig at nogen skriver under på at de har kontrol over din telefon
Så vidt jeg kan læse det, verificerer man at appens fingeraftryk svarer til det man har fra app-storen.
-
@anderslund @pmakholm men så kan den stadig hackes fra operativsystemet
-
Jeg glæder mig over at nogen tager fat i dette, fordi det er et problem der skal løses hvis man skal kunne bruge visse apps på (google-) frie mobil-operativ-systemer. Jeg er naiv/dum nok til at forestille mig at de folk hos Volla og murena, og andre parthavere, faktisk har hjerner.
-
Jeg glæder mig over at nogen tager fat i dette, fordi det er et problem der skal løses hvis man skal kunne bruge visse apps på (google-) frie mobil-operativ-systemer. Jeg er naiv/dum nok til at forestille mig at de folk hos Volla og murena, og andre parthavere, faktisk har hjerner.
@svuorela @pmakholm @anderslund Det er ikke nødvendigvis et problem der skal løses. Man kunne også løse det problem, at din bank lider af den opfattelse, at du ikke skal have lov til at tilgå deres selvbetjening fra en computer, du har kontrol over. En opfattelse de sjovt nok kun har for computere i lommeformat
-
@svuorela @pmakholm @anderslund Det er ikke nødvendigvis et problem der skal løses. Man kunne også løse det problem, at din bank lider af den opfattelse, at du ikke skal have lov til at tilgå deres selvbetjening fra en computer, du har kontrol over. En opfattelse de sjovt nok kun har for computere i lommeformat
Det mobilepay og mobilbankapps'ene gør, er jo at suspendere brugen af MitID i alt fald delvis. Du kan godt bruge netbank på mobil, også på googlefri mobiler. Det er en del besværligere, hvilket i nogen grad er et (web-) designproblem.
Med mobilepay/mobilbank identificerer du dig én gang, derefter blot et swipe og/eller en pinkode, istedet for mitID. Efter min mening burde mobilepay blot tilbyde at identificere med mitID pr betaling. Bankerne kunne gøre det samme.
-
@anderslund @svuorela @pmakholm jeg er ikke ekspert, men mit indtryk er at det handler om at en server skal vide med sikkerhed at et api kald kommer fra den rigtige app, så man ikke f.eks. kan lave en MenID app som ligner og opfører sig som NemID.
-
@anderslund @svuorela @pmakholm jeg er ikke ekspert, men mit indtryk er at det handler om at en server skal vide med sikkerhed at et api kald kommer fra den rigtige app, så man ikke f.eks. kan lave en MenID app som ligner og opfører sig som NemID.
-
Det mobilepay og mobilbankapps'ene gør, er jo at suspendere brugen af MitID i alt fald delvis. Du kan godt bruge netbank på mobil, også på googlefri mobiler. Det er en del besværligere, hvilket i nogen grad er et (web-) designproblem.
Med mobilepay/mobilbank identificerer du dig én gang, derefter blot et swipe og/eller en pinkode, istedet for mitID. Efter min mening burde mobilepay blot tilbyde at identificere med mitID pr betaling. Bankerne kunne gøre det samme.
@anderslund @svuorela @pmakholm Nordeas iPhone-app beder om MitID ved hver ikke-trivielle transaktion, pinkode er ikke nok. Jeg har ikke brugt Android-versionen i nogle år, men jeg antager det er det samme. Og det er vel grundlæggende inkonsistent at kræve Google Play Integrity i en app, der opfører sig på samme måde som webbank gør på en linux-pc.
-
@anderslund @svuorela @pmakholm Nordeas iPhone-app beder om MitID ved hver ikke-trivielle transaktion, pinkode er ikke nok. Jeg har ikke brugt Android-versionen i nogle år, men jeg antager det er det samme. Og det er vel grundlæggende inkonsistent at kræve Google Play Integrity i en app, der opfører sig på samme måde som webbank gør på en linux-pc.
-
J jeppe@uddannelse.social shared this topic
-
@anderslund @volla @murena Ok, tak! Jeg fik også et svar i murena-community men har ikke fået læst det endnu: https://community.e.foundation/t/article-paying-without-google/80205
-
@anderslund @svuorela @pmakholm jeg er ikke ekspert, men mit indtryk er at det handler om at en server skal vide med sikkerhed at et api kald kommer fra den rigtige app, så man ikke f.eks. kan lave en MenID app som ligner og opfører sig som NemID.
@jpkolsen @anderslund @pmakholm men for at det kan virke helt skudsikkert er der behov for kontrol over hele kæden fra Secure boot i hardware der godkender os der så kan validere apps.
Hvis noget i den kæde er brudt kan der lyves.
-
J jwcph@helvede.net shared this topic
-
@jpkolsen @anderslund @pmakholm men for at det kan virke helt skudsikkert er der behov for kontrol over hele kæden fra Secure boot i hardware der godkender os der så kan validere apps.
Hvis noget i den kæde er brudt kan der lyves.
@svuorela @anderslund @pmakholm interessant. Jeg troede egentlig bare det var betroet autoritet der sammenlignede nogle hashes eller noget i den stil, men jeg har aldrig sat mig ind i arkitekturen
-
@svuorela @anderslund @pmakholm interessant. Jeg troede egentlig bare det var betroet autoritet der sammenlignede nogle hashes eller noget i den stil, men jeg har aldrig sat mig ind i arkitekturen
@jpkolsen @anderslund @pmakholm men hashes af hvad? Og foretaget af hvem?
-
@jpkolsen @anderslund @pmakholm men hashes af hvad? Og foretaget af hvem?
@svuorela @anderslund @pmakholm du siger noget…
-
@anderslund @volla @murena Ok, tak! Jeg fik også et svar i murena-community men har ikke fået læst det endnu: https://community.e.foundation/t/article-paying-without-google/80205
@bettina Det ligner at dette i praksis rykker Murena / e/os fra en dries software-freedom a-c til en klart D. Det gør i praksis man ikke kan bruge sin egen modificerede android/linux men er bundet op på nogen andres ubetinget. @anderslund @volla @murena
-
@anderslund @volla @murena Ok, tak! Jeg fik også et svar i murena-community men har ikke fået læst det endnu: https://community.e.foundation/t/article-paying-without-google/80205
@bettina @anderslund @volla @murena awesome: “With #UnifiedAttestation, we are creating a transparent and trustworthy procedure for security checks that developers and app publishers can rely on equally. This removes the last hurdle for the use of alternative mobile operating systems"
“We don't want to centralize trust, but organize it transparently and publicly verifiable. When companies check competitors' products, we can strengthen that trust," #unplugtrump #degoogle -
@bettina @anderslund @volla @murena awesome: “With #UnifiedAttestation, we are creating a transparent and trustworthy procedure for security checks that developers and app publishers can rely on equally. This removes the last hurdle for the use of alternative mobile operating systems"
“We don't want to centralize trust, but organize it transparently and publicly verifiable. When companies check competitors' products, we can strengthen that trust," #unplugtrump #degoogleRE: https://grapheneos.social/@GrapheneOS/116200110686604617
@bettina @anderslund @volla @murena just read the protest from GrapheneOS: https://mastodon.social/@GrapheneOS@grapheneos.social/116200111659862792
I cannot see through the technical background how this system closes the space and just deamercanizes it, being from EU.
-
RE: https://grapheneos.social/@GrapheneOS/116200110686604617
@bettina @anderslund @volla @murena just read the protest from GrapheneOS: https://mastodon.social/@GrapheneOS@grapheneos.social/116200111659862792
I cannot see through the technical background how this system closes the space and just deamercanizes it, being from EU.
@MisterSmith @anderslund @murena To quote Voltaire quoting an Italian: "The best is the enemy of the good". Without having much technical insight, I think the initiative by Volla, Murena etc. is trying to fix a problem in a structure none of us created in the first place. So I welcome it.
Do I also want to see a world where tech is structured in a completely different way? Of course. But one step at a time.
And shaming others or wanting them obliterated is not a path to peaceful coexistence
