Pokaż wyniki od 1 do 5 z 5

Wątek: [bezpieczeństwo] połączenia nie do końca szyfrowane

  1. #1

    Exclamation [bezpieczeństwo] połączenia nie do końca szyfrowane

    Chciałbym zwrócić uwagę na pewną lukę dotyczącą bezpieczeństwa.

    Co prawda połączenie z serwerem jest szyfrowane, ale zanim GG11 się z nim połączy, najpierw pobiera jego adres z serwera HUB (appmsg.gadu-gadu.pl). To połączenie nie jest szyfrowane, więc atakujący może kazać się połączyć z dowolnym innym serwerem. Dzięki innym zabezpieczeniom taki atak może się nie udać, ale lepiej dmuchać na zimne, niż później przepraszać.

    Ponadto, zapytanie do serwera HUB zawiera informacje, których użytkownik być może nie chce wystawiać na podsłuch w sieci lokalnej (być może publicznej): numer GG, płeć, wiek.

    Sugestia: wysyłajcie proszę zapytania do tego serwera przez https. Jeżeli nie ma takiej możliwości, chciałbym usłyszeć argumentację.

    Tomek

  2. #2
    Doświadczony GGadacz
    Dołączył
    21.03.2011
    Lokalizacja
    Warszawa
    Posty
    141
    Dziękujemy za zgłoszenie. Pracujemy nad rozwiązaniem tego problemu. Staramy się sukcesywnie zwiększać liczbę systemów, które komunikują się z aplikacją szyfrowanym kanałem, ale jest to proces dosyć złożony z uwagi na konieczność wprowadzania zmian na serwerach (np. dbanie o kompatybilność ze starymi wersjami GG, zależności między systemami).

  3. #3
    Super Moderator Awatar Qrix
    Dołączył
    09.02.2009
    Lokalizacja
    Łódź
    Marka tel.
    Sony
    Model tel.
    Xperia M2 LTE
    FW telefonu
    Android 4.4.4
    Posty
    4,513
    yyy a to przypadkiem nie wystarczy dodać po prostu tego samego tylko po https i w nowych wydaniach pobierać stamtąd adresy serwerów GG?

  4. #4
    Zgadza się w sytuacji kiedy użytkowników jest niewielu. Jednak w przypadku GG efekt skali powoduje wspomnianą złożoność problemu i komplikuje jego rozwiązanie.

  5. #5
    Cytat Zamieszczone przez GGAdmin Zobacz posta
    Zgadza się w sytuacji kiedy użytkowników jest niewielu. Jednak w przypadku GG efekt skali powoduje wspomnianą złożoność problemu i komplikuje jego rozwiązanie.
    Problemem jest tutaj pewnie trochę większe obciążenie serwerów, ponieważ tunel SSL jest zestawiany na bardzo krótki okres czasu i zestawienie zajmuje dosyć dużo czasu w stosunku do całej transmisji.
    Google dawało jakieś rady jak opisywali doświadczenia z wdrożeniem SSL na Gmailu.

Podobne wątki

  1. Błąd połączenia
    By SamurajSonia in forum Aplikacja Java
    Odpowiedzi: 8
    Ostatni post / autor: 15.07.2013, 09:06
  2. Poprawienie bezpieczeństwa
    By Majcon in forum Ciekawe sugestie
    Odpowiedzi: 1
    Ostatni post / autor: 28.05.2013, 21:07
  3. Błąd połączenia GG
    By Slender in forum Aplikacja Symbian
    Odpowiedzi: 0
    Ostatni post / autor: 30.09.2012, 17:18
  4. Bezpieczeństwo przed hakerami
    By Konetix in forum Boty
    Odpowiedzi: 9
    Ostatni post / autor: 17.08.2012, 15:57
  5. Błąd połączenia
    By kamil3642 in forum Aplikacja Java
    Odpowiedzi: 4
    Ostatni post / autor: 22.06.2012, 21:46

Uprawnienia umieszczania postów

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •