[HWSW]

Biztonsági réseket és sebezhetõségeket is átvesznek sokszor az alkalmazásaikhoz felhasznált nyílt forrású kódokból az androidos fejlesztõk. A Codenomicon szerint a legnépszerûbb appok közül minden második tartalmaz valamilyen biztonsági hibát, amelyet jó eséllyel készítõik figyelmetlensége miatt, máshonnan átvett kódból örököltek.
https://www.hwsw.hu/hirek/52638/andorid-biztonsag-openssl-titkositas-fejleszto-app.html

[Mehenion]

ennyit a nyílt kód elõnyeirõl... lol! köszi, maradok a WP-nél (ott legalább van némi infom, h ki nézegetheti az adataim, és nem átjáróház az egész)

[Jahno]

Idézet: Mehenion - Dátum: 2014. 07. 30. 12:51

ennyit a nyílt kód elõnyeirõl...

Néha én is érdeklődnék, hogy merre vannak azok, akik kb. 5 évvel ezelőtt verték a nyálukat, hogy majd meglátjuk. Én nézem, de valahogy nem látom

[Loui]

Ha minden 3rd party lib.-et olyan tesztelesnek vetnek ala, ami feltar egy heartbleed kategoriaju hibat akkor soha nem kerul egy termek sem piacra. Ez szerinte egy hulyeseg ugy ahogy van.
Raadasul az android appok nagy reszet garazs Bt-k gyartjak, azoknak hol van eroforrasa mindent tesztelni?! Se penz, se ido, se ember.

Olyan lib-et kell hasznalni ami mogott megfelelo tamogatas van, rendszeres frissitesekkel amit az ember a sajat megoldasaiba is rendszeresen beepit. Ennyi.
Megfelelo risk analysis es boldogsag lesz. Aki esz nelkul hasznal valami 1 emberes openszosz projektet, amihez 2 eve nem nyultak, az ne lepodjon meg, hogy verzik az alkalmazasa.
Az egyetlen gond ezzel, hogy a felhasznalok isszak a levet.

[Mehenion]

Loui: ha nem akarja / tudja beletolni a szükséges energiát ill pénzt, akkor ne fejlesszen! semmi szükség az 500. zseblámpa appra, ami vmi random indok miatt hozzá akar férni az SMS-ekhez és a contact listához...

[Loui]

@Mehenion: Es megis hol huznad meg a hatart, hogy milyen teszteket vegezzen el az 59 fele lib.-el?
Csak mert a trivialis teszt eseteket valoszinuleg a lib keszitoje is ellenorizte. (De ennek eldontese is hetekig tarto unit test kod olvassal jar na meg maganak a teszt forgatokonyveknek, mert ugye a unit test az nem minden.)
Tegyuk fel, hogy a trivialis esetek megvannak, johetnek az osszetettebbek. Na az viszont mar maganak a lib-nek a mely ismeretet feltetelezi, tehat megint hetek-honapok mennek el a megertesre.
Es ez csak egy lib volt, mi lesz a tovabbi 58-al?

Felhasznaloi szemszogbol teljesen igazad van, de fejlesztoi szempontbol is nezd.

[InvalidUser]

@Mehenion: "ennyit a nyílt kód elõnyeirõl... lol! köszi, maradok a WP-nél (ott legalább van némi infom, h ki nézegetheti az adataim, és nem átjáróház az egész)"

A zárt forráskód esetén valóban átláthatóbb mit csinál az alkalmazás a háttérben mintha elolvashatnád a forráskódot.

"by the way: Ezek a csávók honnan jönnek?"

[xclusiv]

Idézet: Mehenion - Dátum: 2014. 07. 30. 12:51

ennyit a nyílt kód elõnyeirõl... lol! köszi, maradok a WP-nél

A wp-t csak azért nem említették meg, mert ingerküszöb alatti a részesedése, amúgy valszeg a wp app-okra is pont ugyanúgy igaz a cikk, mint droid-ra.

Idézet

(ott legalább van némi infom, h ki nézegetheti az adataim, és nem átjáróház az egész)

Hahaha, némi infód, lol. Dehogy van, csak a FUD-ot fújod fogalmatlanul...

[xclusiv]

Idézet: Mehenion - Dátum: 2014. 07. 30. 13:39

Loui: ha nem akarja / tudja beletolni a szükséges energiát ill pénzt, akkor ne fejlesszen!

Ez meg már baromság. Nyilván csak a gogol/apple/ms féle mamutoknak van (lenne) arra kapacitása, hogy minden libet auditáljanak. De még ők se csinálják, akkora horror munka lenne.

Idézet

semmi szükség az 500. zseblámpa appra, ami vmi random indok miatt hozzá akar férni az SMS-ekhez és a contact listához...

És ez már megint más téma, kicsit kevered a szart a szárral. Káros appok esetében az ilyen jogosultságok nem a libek miatt vannak.
De még csak 3rd party se kell hozzá, itt van a beépített apple diagnosztikai képesség, ami (idézem):

Idézet

- titokban (a kijelzőre nem ír ki semmit)
- kikapcsolt WiFi sync mellett
- bekapcsolt backup titkosítás mellett
lemásolhatóvá tesz olyan adatokat is, mint a teljes névjegylista, a szöveges üzenetek, a hangposta és a felhasználó fényképalbuma?
Ráadásul vezetéknélküli kapcsolaton?
...
Ráadásul mindez dokumentálatlanul, titokban és csak akkor vallják be, amikor a fószer kiborítja a bilit.

De azért köpködd csak a nyílt forrást ha jól esik...

[YleGreg]

Valaki elmondaná nekem, hogy miért jön szóba az Android és az Open Source úgy ebben a cikkben, mintha bármely más oprendszer, és bármely más kód esetén az itt leírtak nem állnák meg a helyüket?

Ha nyomok egy sed -i "s/Android/Windows/g" meg sed -i "s/lib/dll/g" parancsot erre a cikkre, akkor is igaz lesz.
Vagy talán egy hibás .NET -es dll használata nem teszi pontosan ugyanúgy sebezhetõvé a windowsos appot?

Az miért nincs a cikkben, hogy az androidos telefonokat ha izomból földhöz vágjuk akkor összetörnek?
Ehh, hatásvadászat megy itt kérem.

[Jahno]

Idézet: YleGreg - Dátum: 2014. 07. 30. 14:47

Valaki elmondaná nekem, hogy miért jön szóba az Android és az Open Source úgy ebben a cikkben, mintha bármely más oprendszer, és bármely más kód esetén az itt leírtak nem állnák meg a helyüket?

Mert azon kívül, hogy a droid nyílt-féle, az alkalmazások még nem annyira azok?

[Benedicht]

Idézet: xclusiv - Dátum: 2014. 07. 30. 14:37

De azért köpködd csak a nyílt forrást ha jól esik...

Nem kell kopkodni a nyilt forrast, de az sem jobb mint a tobbi, szoval foggal-korommel sem kell vedeni.

[YleGreg]

@Jahno: "Mert azon kívül, hogy a droid nyílt-féle, az alkalmazások még nem annyira azok?"

Hmm, ez jó meglátás....
Na, ezért kell Apparmor/SELinux a telefonra.

Tényleg, iOS/WP vonalon van részletes mandatory access control?

[zZsOlTi]

Idézet: YleGreg - Dátum: 2014. 07. 30. 14:47

Ha nyomok egy sed -i "s/Android/Windows/g" meg sed -i "s/lib/dll/g" parancsot erre a cikkre, akkor is igaz lesz.

+1, nekem is ez ugrott be ahogy olvastam a cikket. A mobil világ -meg úgy általában bármi, ahol programozók programoznak- tele van előre elkészített és sokak által használt libekkel, komponensekkel (akár opensource, akár closed source és fizetős, tökmindegy). Sőt, tele van a net mindenféle kódmegosztó fórumokkal, ahol az emberek bizony vesznek át egymástól kész megoldásokat, legyen az pár sor kód, amit valaki jobban megírt, vagy legyen egy komplett akármilyen lib, ami megold valami problémát és megspórol 2 hét munkát. Ha ezekben hiba van, akkor a programban is hiba lesz. Ez se nem android, se nem opensource sajátosság. De azért fasza a cikk, legalább megvan a népnek a napi opensource meg android fikázás.

[Jahno]

Idézet: zZsOlTi - Dátum: 2014. 07. 30. 16:11

De azért fasza a cikk, legalább megvan a népnek a napi opensource meg android fikázás.

Nekem annyiból van meg, hogy 5 éve ment a nagy win fikázás, aztán fórumos Pistikék előmarketingeltek, hogy majd a droid, ott igényes programok lesznek, MERT LINUXOS, és majd a jogosultságkezelés, meg biztonság, meg semmi vírus és majd jól meglátjuk. Megláttuk

[InvalidUser]

@Jahno: Az hogy a felhasználó engedélyezi az SMS-küldést a telefonon a szoftver telepítésekor és ezután az alkalmazás SMS-t küld nem nevezném vírusnak. A vírus azért vírus mert magától terjed.

[Jahno]

Idézet: InvalidUser - Dátum: 2014. 07. 30. 16:33

@Jahno: Az hogy a felhasználó engedélyezi az SMS-küldést a telefonon a szoftver telepítésekor és ezután az alkalmazás SMS-t küld nem nevezném vírusnak. A vírus azért vírus mert magától terjed.

Jó, de van olyan szintű jogosultságkezelés, amit előre mondogattak? Ugyanmár. És felhasználónak egy választása van, vagy nem használ kb. semmilyen appot, vagy bármi, esetleg akármi olyan dolgokhoz szeretne hozzáférni, amitől csak pislogunk. És akkor nem konkrétan arra a cuccra gondolok, ami ROMmal együtt terjed, vagy csak simán valahonnan mobil alkalmazás és "ezt tedd fel, akkor kurva jó lesz Neked".

[LCoder]

@Jahno: Az OS kb. addig tud tenni, hogy megkérdezi a usert hogy ehhez vagy ahhoz hozzáférhet-e egy app. Ha a user engedélyezi a dolgot onnantól kezdve nem sokat tehet.

A cikk meg tömény fasság. Bármely mobilos app esetén használhatsz opensource vagy closed source könytárat, amiben ugyanúgy lehet hiba. És a PityiPalkó Kft által lefejlesztett closed source libben centire ugyanúgy lehet hiba mint egy opensource könyvtárban.

[Jahno]

Idézet: LCoder - Dátum: 2014. 07. 30. 17:15

@Jahno: Az OS kb. addig tud tenni, hogy megkérdezi a usert hogy ehhez vagy ahhoz hozzáférhet-e egy app. Ha a user engedélyezi a dolgot onnantól kezdve nem sokat tehet.

Főleg ha az SMSkezelőbe teszik az okosságot ugye, vagy a telefonkönyvhöz. Most már alakulnak a jogosultságkezelések, vagy valamire legalább rákérdez, de mondjuk pár éve még ennyire sem volt így. Álapotot meg egy csomó mindent pld. egy sakkprogramnak is kezelni kell, ha már nem egyszerűa történet, mert tegyük fel tudni kell a bejövő hívást, kezelni a hangot, viszont addig ne járjon le az időm. Stopperóránál pont fordítva, jó lenne ha futna a háttérben. Egy telefonkezelő kezelje a telefonkönyvet, mert ez a dolga, naptárkezelőnek is az a dolga, csak ha hozzáfér akkor már felhatalmazza, hogy azt csinál vele amit akar és lopja is ki az adataim a világnak?

[Sipi]

Azt hittem, egy idő után majd lecseng ez a nyílt kód/zárt kód csata illetve Win/Lin csata, de úgy látszik mindig lesznek akiket ez lázba hoz. Itt is sikerült rögtön az első hozzászólásban indítani, de ha wines hír van, akkor is nagyobb összeget mernék tenni rá, hogy az első 3 hozzászólásban lesz valami fikázás.