poniedziałek, września 13, 2010

Straszna wizja

Wyobraźcie sobie świat... idealny świat speców od bezpieczeństwa......

Świat w którym nie możecie zainstalować na swoim telefonie czy komputerze aplikacji, bo nie została podpisana cyfrowo przez organ certyfikacyjny...

Świat w którym KAŻDY program musiałby explicite definiować jaka jest wspierana maksymalna wersja systemu operacyjnego i bibliotek, i zaleceniem byłoby by była to wersja na której aplikacja była testowana....

Świat w którym strony WWW musiałyby mieć certyfikaty zgodności z przeglądarkami....

A oni mają takie plany.....

Drżyjmy.......


Podobne postybeta
A może by wrócić do używania Google Drive do przesyłania komunikatów między przeglądarkami?
Kierowca bombowca ;-)
Jajx.........
Wpisy z Bloggera jako eventy w Google Calendar 4 - nowa wersja aplikacji ;-)
Czemu strony only for IE są złe.

6 komentarzy:

  1. To nie są specjaliści od bezpieczeństwa, jakkolwiek by siebie nie nazywali. (to raz)

    Wydaje mi się że wrzuciłeś do jednego worka dwie zupełnie różne rzeczy. (to dwa)

    W podpisywaniu aplikacji nie ma nic złego. Jest to najłatwiejszy sposób na zapewnienie jej integralności. Przy okazji, jak coś pójdzie nie tak łatwiej będzie ustalić "winowajcę".

    Certyfikaty, "walled gardens" i cały związany z tym DRM, to współczesna choroba. Nie ma to nic wspólnego z bezpieczeństwem, a jest jedynie zawłaszczaniem sobie rynku przez producentów.

    OdpowiedzUsuń
  2. Jedno to dobrowolna certyfikacja, tak jak ma to miejsce np. w przypadku appletów czy Java Web Start, albo w Androidzie, gdzie co prawda trzeba się "podpisać" ale można to zrobić samemu, a co innego certyfikacja taka jak w iPhone'ie, gdzie by móc w ogóle instalować aplikacje z innych źródeł trzeba złamać system.
    No i też źle jeżeli nawet w aplikacji z dobrowolnym certyfikowaniem aplikacja wymaga odpowiednich certyfikatów od bibliotek i reszty kodu. Powinna wyrzucić informację, że nie będzie działać z powodu certyfikatów, ale że można ją do tego zmusić przez jakiś przełącznik.

    A w mniemaniu wielu ludzi od bezpieczeństwa to będzie złe.....

    OdpowiedzUsuń
  3. Wspomniany przez Ciebie iPhone, to właśnie klasyczny "walled garden", gdzie wszystkie zabezpieczenia mają na celu wyłącznie ochronę interesów producenta.

    Wymóg podpisywania swojego dzieła (kodu), sam w sobie nie jest zły.

    OdpowiedzUsuń
  4. @Red - podpisywanie mnie nie boli, ale niefajnie jest jeśli to musi być podpisywanie przez kogoś innego.
    W Androidzie zrobili to podobnie do Java'y, to Ty podpisujesz własnym kluczem i tyle.
    Choć jest różnica w stosunku do Java'y, nie ma w Androidzie podpisywania przez jakiś zaufany ośrodek, tylko sam twórca.

    Pisane z Bloggeroida więc błędy ortograficzne mogły się zdarzyć

    OdpowiedzUsuń
  5. Zabawne, użyłeś dokładnie tego określenia, które miałem napisać na końcu (zbyt szybko nacisnąłem submit)...

    Chodzi mi o to że pytanie kogoś o zgodę nie ma nic wspólnego z bezpieczeństwem, jakkolwiek by producent chciał to widzieć. To jedynie podkreślanie tego "kto tu rządzi".

    OdpowiedzUsuń
  6. Znów za szybko naciskam klawisze....

    Taka ciekawostka, ponoć iPhone w ciekawy sposób zabezpiecza komunikację po USB. Używając do tego twardej kryptografii. Tylko że... dane użytkownika na telefonie nie są zabezpieczone (!).

    Myślę że w kontekście naszej rozmowy nie wymaga to dodatkowych wyjaśnień.

    OdpowiedzUsuń