On 2019-06-04, Dominik Ałaszewski <D...@g...pl.invalid> wrote:
> Dnia 04.06.2019 Marcin Debowski <a...@I...zoho.com> napisał/a:
>
>>> Z czego ma wynikać ta mityczna przewaga iOS w zakresie bezpieczeństwa?
>>
>> W tej chwili głównie z kontroli aplikacji dopuszczanych do sklepu. Na
>> innych poziomach wydaje mi się szalonych różnic nie ma.
>
> Ano właśnie.

Tak, ale to wciąż jest problem wykraczający trochę dalej niż ślepe
potwierdzanie uprawnień. Z grubsza sprowadza się to do tego, że dajemy
dostęp do systemu czemuś co może np. okazać się backdoorem i
potencjalnie wykorzystać za jakiś czas nową podatność. Od środoka jakby
nieco łatwiej.

>> No własnie coś zbliżonego do wspomnianego OSX. Tam jest tak, że masz
>> debilny interfejs użytkownika z którym nic nie zrobisz, ale nie masz
>> żadnych restrykcji aby pracować na gołym Darwinie z prawami roota. Apple
>
> Z Androidem masz blisko :-) By design jest dla luserów,
> ale w miarę prosto można mieć roota i po pierwsze móc znacznie
> więcej, a po drugie próbowac ograniczać inne aplikacje
> (choćby firewall).

Kiedyś mi się jeszcze chciało dżejlbrejkować iOSy, instalować tam
light-httpd, mysql i inne, ale już wymiękłem. Fajnie by było, mieć coś
takiego niejako oficjalnie.

--
Marcin

do góry

On 2019-06-04, J.F. <j...@p...onet.pl> wrote:
> Użytkownik "Marcin Debowski" napisał w wiadomości grup
>>świadczy MZ, że nikt tego nie kontroluje, to równie dobrze może i nie
>>kontrolować. Ponownie, to nie jest problem z sandboxem.
>
> IMO - nie kontroluje.
> Ile tam jest obecnie - miliony aplikacji ?
> Jak sobie wyobrazacie kontrole ?
> Szczegolnie gdy aplikacja ma ponad 200MB :-)
>
>>> Z czego ma wynikać ta mityczna przewaga iOS w zakresie
>>> bezpieczeństwa?
>>W tej chwili głównie z kontroli aplikacji dopuszczanych do sklepu. Na
>>innych poziomach wydaje mi się szalonych różnic nie ma.
>
> Ta kontrola tez jest iluzoryczna.
> Ale moze model zabezpieczen lepszy.

Nie kojarzę jakiś spektakularnych wpadek z Apple Store, a w Playstore
było sporo. To z czego to wynika?

>>się rusza. I nie stały za nimi jakieś gównianiane firemki, ale np.
>>dostawcy mediów, operatorzy komórkowi, instytucje rządowe, renomowane
>>sieci handlowe.
>
> Bo im zalezy na big data :-)

Wydaje mi się, że niechlustwo, szablony i tyle.

>>nie uruchomię pod Andoidem niczego co potencjalnie mogłoby mi zrobić
>>jakieś kuku.
>
> Czyli niczego ?
> Bo jesli mialbym cos obdarzyc zaufaniem ... to chyba tylko bankowe
> aplikacje.

Masz poinstalowane niesprawdzone aplikacje w tym takie co są
backdoorami. Se ta siedzą i czekają. Pojawia się podatność dająca root'a
i kto wie co wtedy da się zrobić z tymi bankowymi. Podmienić nr konta do
przelewu w formularzu na stronie www banku np., i parę innych.

>>jakoś pogodzić z rzeszą użytkowników, którzy nic nie kumają. I teraz,
>>w
>>sytuacji, która tu budzi takie emocje, pewnie dałoby się ubić
>>jakiegoś
>>daemona odpowiedzialnego za takie spowolnianie. Jak komuś to naprawdę
>>przeszkadza.
>
> A Android lepszy ?
> Poddalem sie w szukaniu, co mi rozladowuje baterie.

Też nie do końca.

--
Marcin

do góry

Dnia 05.06.2019 Marcin Debowski <a...@I...zoho.com> napisał/a:

> Tak, ale to wciąż jest problem wykraczający trochę dalej niż ślepe
> potwierdzanie uprawnień. Z grubsza sprowadza się to do tego, że dajemy
> dostęp do systemu czemuś co może np. okazać się backdoorem i
> potencjalnie wykorzystać za jakiś czas nową podatność. Od środoka jakby
> nieco łatwiej.

Każda aplikacja może się okazać backdoorem, więc trzeba by dogłębnie
analizować kod. Trochę słabo to widzę przy tej ilości.
Analiza zachowania aplikacji na emulatorze nie zawsze wystarczy,
były przypadki że złośliwa część kodu zostawała nie uruchamiana
do momentu wykrycia sygnałów z czujników ruchu.

Jeśli Apple to robi- szacun, czapki z głów.

Natomiast ślepe potwierdzanie uprawnień JEST problemem-
jak ktoś np. nie widzi problemu w nadaniu aplikacji
uprawnień administratora urządzenia. A z kolei sens aplikacji
mających takie uprawnienia jak najbardziej jest- chociażby
Airwatch.

Zaś Google, jak już wklejałem linka, oficjalnie dość mocno
zaostrzyło politykę- aplikacje nie mogą prosić o uprawnienia,
które nie są niezbędne do relalizacji danej funkcjonalności,
a np. dostęp do sms może mieć tylko aplikacja ustawialna
jako aplikacja obsługująca esemesy (np. jakiś mesendżer).

Oczywiście egzekwowanie polityki to drugie- ale kurs jest
IMO właściwy.

> Kiedyś mi się jeszcze chciało dżejlbrejkować iOSy, instalować tam
> light-httpd, mysql i inne, ale już wymiękłem. Fajnie by było, mieć coś
> takiego niejako oficjalnie.

Coś takiego oficjalnie jest bodajże w LineageOS- w opcjach
developerskich zaptaszczasz sobie "root access" :-)

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile..." (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.

do góry

W dniu 2019-06-04 o 12:47, Marek pisze:
> On Tue, 4 Jun 2019 00:02:37 +0200, LordBluzg(R)<m...@p...onet.pl>
> wrote:
>> Spróbuj zmieścić 1GB sampli do programu muzycznego w 200MB :] i tak 10
>
> Oboje wiemy, że podałeś przykład z dupy nijak nie mający się do
> tendencji o jakiej mowa.

Przecież napisałem że to wyjatek a tych by się sporo nazbierało (przykł:
mapy offline). Rozumiem Twój zamysł i sam biadolę że kiedyś na Windows
Mobile apki były mocno rozbudowane i zabierały tyci miejsca a dzisiaj
bliźniacze kilkanaście MB co najmniej.
>
> Ktoś kiedyś powiedział, że 640kB  powinno każdemu wystarczyć.

Bo taki był zamysł w sensie gotowego urządzenia. To, że nastała później
ekspansja w inną stronę to już zupełnie inna sprawa. Do dzisiaj chodzą
sobie urządzenia i to dość zaawansowane z 640kB i im to wystarcza.

Wystarczyło że ruszyły fabryki i każdy chciał zarobić, no to się zrobiło
rynek i włala...poleciało. Ileż to razy czytałem, że coś jest niewydolne
i trzeba zmienić z ISA na PCI, AGP na PCI-Express,1 rdzeń na 8, problem
year 2000 itp. Znam 2 osoby w realu, które tłuką programy DOS na kompie
486 i im to w zupełności wystarcza do wystawiania faktur i piszą w TAGu
pisma, drukując na pierdzącej OKI a backup leci na osobny dysk w
kompie...i znam również takich, co kupili nowe DELLe i wystawiają te
same faktury z bazami 4GB SQL i jeszcze kopia do nieba + HP Laser COLOR
i NAS w RAIdzie.

> Po czym przez następne 30 lat się z tego wyśmiewano.

Bo zamysł Billa był inny, kiedy to mówił i w sumie obowiązuje nadal.

> A teraz się okazuje, że z
> tego powiedzenia wychodzi geniusz który wtedy już przewidywał upadek
> rozwoju i ostrzegał przed tym, nikt wtedy nie zdawał sobie sprawy, że
> "powinno" należało rozumieć jako ostrzeżenie a nie jako przypuszczenie.

To już luźna interpretacja i dorabianie ideologii.

Lepszym powiedzeniem jest:
Komputer został wynaleziony do rozwiązywania problemów, które sam
robi...podpada to raczej pod ewolucję "wszechswiata", który ciągle się
rozszerza...a innym wystarcza "domek na prerii" :]


--
LordBluzg(R)
<<<Pasek Grozy TVPiS>>>
KSIĘŻA PRZEBACZAJĄ SWOIM OFIAROM

do góry

W dniu 2019-06-05 o 13:35, Dominik Ałaszewski pisze:
> a np. dostęp do sms może mieć tylko aplikacja ustawialna
> jako aplikacja obsługująca esemesy (np. jakiś mesendżer).

SMS przesyła CI Twój operator komórkowy. Masz to w pakiecie.


--
animka

do góry

W dniu 2019-06-05 o 05:24, Pszemol pisze:
Czy ja pobieram FB codziennie? Czy to taki kłopot pobrać przez wifi?
> Po co blokować sieć komórkową... Opanujmy tą "instant gratificatio

Typowy użytkownik nawet Polsce ma np. za 30 zł no limit i 10 giga netu
na numer i jak chce coś tam ściągnąć to nie martwi się czy idzie po wifi
czy po GSM.
Szkoda życia żeby zamartwiać się ajfonowym limitem ;-)
Aple zostało w tyle za rzeczywistością a sam pomysł limitu wielkości
pliku ani skuteczny ani mądry ani ... cholera wie po co on wprowadzony i
nadal kultywowany :-)

z

do góry

Użytkownik "Marcin Debowski" napisał w wiadomości grup
dyskusyjnych:QBMJE.310987$D...@f...ams1...
On 2019-06-04, J.F. <j...@p...onet.pl> wrote:
> Użytkownik "Marcin Debowski" napisał w wiadomości grup
>>>> Z czego ma wynikać ta mityczna przewaga iOS w zakresie
>>>> bezpieczeństwa?
>>>W tej chwili głównie z kontroli aplikacji dopuszczanych do sklepu.
>>>Na
>>>innych poziomach wydaje mi się szalonych różnic nie ma.
>
>> Ta kontrola tez jest iluzoryczna.
> Ale moze model zabezpieczen lepszy.

>Nie kojarzę jakiś spektakularnych wpadek z Apple Store, a w Playstore
>było sporo. To z czego to wynika?

Powtorze sie - sprawdzic program, co ma 200MB jest nierealne.
Ba, 20 i 2MB tez nierealne. Zreszta nikt tak nie sprawdza.

Moze maja lepsza kontrole zglaszajacych ... no ale jak, jakas firemka
z Polski, Ukrainy czy Somalii nie moze wypuscic aplikacji ?

A moze troche lepszy mechanizm zabezpieczen wewnetrznych, i program
moze niewiele zaszkodzic ani odczytac.

>>>się rusza. I nie stały za nimi jakieś gównianiane firemki, ale np.
>>>dostawcy mediów, operatorzy komórkowi, instytucje rządowe,
>>>renomowane
>>>sieci handlowe.
>
>> Bo im zalezy na big data :-)
>Wydaje mi się, że niechlustwo, szablony i tyle.

Byc moze, ale sieciom handlowym to zalezy na profilu klienta :-)

>>>nie uruchomię pod Andoidem niczego co potencjalnie mogłoby mi
>>>zrobić
>>>jakieś kuku.
>
>> Czyli niczego ?
>> Bo jesli mialbym cos obdarzyc zaufaniem ... to chyba tylko bankowe
>> aplikacje.

>Masz poinstalowane niesprawdzone aplikacje w tym takie co są
>backdoorami. Se ta siedzą i czekają. Pojawia się podatność dająca
>root'a
>i kto wie co wtedy da się zrobić z tymi bankowymi. Podmienić nr konta
>do
>przelewu w formularzu na stronie www banku np., i parę innych.

No i jak sie przed tym uchronic ?
Nie instalowac zadnych aplikacji, czy nie instalowac bankowych ?

A bank to jak obslugiwac - w marmurku ?

J.

do góry

"Marcin Debowski" <a...@I...zoho.com> wrote in message
news:KoMJE.310985$Dw7.220263@fx12.ams1...
> On 2019-06-05, Pszemol <P...@P...com> wrote:
>> "Marcin Debowski" <a...@I...zoho.com> wrote in message
>> news:njhJE.273623$Nl6.15382@fx03.ams1...
>>> On 2019-06-03, Budzik <b...@p...o.n.e.t.pl.nie.spam.oj> wrote:
>>>> Użytkownik Filip454 f...@g...com ...
>>>>
>>>>> Osobiście we mnie to średnio uderza - i tak zawsze pobieram wszystkie
>>>>> apki po wifi bo po prostu szkoda mi transferu, obojętnie ile go mam.
>>>>
>>>>:)))
>>>> W XIX wieku...
>>>>
>>>> to tak jakby powiedziec - oddycham powoli - szkoda mi powietrza ;-P
>>>
>>> Ostatnio poszliśmy do kina. Żona kupił bilety online, na mejla zwrotnie
>>> dostała załącznik z rezerwacją i kodem QR. Już w samochodzie panika, bo
>>> nie otworzyła tego mejla w domu a Mail pod iOS odmówił zciągnięcia
>>> załącznika. Załacznika ca 400kB. KILOBAJTÓW. Siedziała i dłubała w
>>> czasie jazdy. Nie znalazła gdzie to przestawić. Potem szukałem i ja i
>>> tez nie znalazłem. Skończyło się uruchomieniem hotspota na moim
>>> Androidzie i tada, załącznik się załadował. Nosz k...
>>
>> Pieprzysz głodne farmazony - limit rozmiaru załącznika to 20 mega.
>
> Napisałem co się zdarzyło. Rozumiem, że masz kłopoty z przyjęciem tego
> do wiadomości, tylko niejasny jest dla mnie powód. Sam wciskasz często
> ludziom kit i w związku z tym spodziewasz się, że inni też kłamią?

Sugeruję Ci, że Twoja żona być może miała problemy z odczytaniem
maila/załącznika ale były one związane z czymś innym, nie z limitem
jego rozmiaru - więc to Ty nie wprowadzaj ludzi w błąd jak nie sprawdziłeś.
Przełączenie na hotspota sugeruje raczej że miała problemy z połaczeniem
z siecią - mi się to bardzo często zdarzało jak miałem T-Mobile a nie
zdarza się wcale odkąd mam AT&T.

do góry

"z" <...@...pl> wrote in message
news:5cf7b8a0$0$511$65785112@news.neostrada.pl...
> W dniu 2019-06-05 o 05:24, Pszemol pisze:
> Czy ja pobieram FB codziennie? Czy to taki kłopot pobrać przez wifi?
>> Po co blokować sieć komórkową... Opanujmy tą "instant gratificatio
>
> Typowy użytkownik nawet Polsce ma np. za 30 zł no limit
> i 10 giga netu na numer i jak chce coś tam ściągnąć to nie
> martwi się czy idzie po wifi czy po GSM.

Nie myślisz znowu... 10 giga limitu to mało...
Typowa gra na iPada/iPhone to np. 2.5 giga.
Ściągniesz takie 4 gry i w tydzień masz po limicie.
Myśl!

> Szkoda życia żeby zamartwiać się ajfonowym limitem ;-)
> Aple zostało w tyle za rzeczywistością a sam pomysł limitu wielkości pliku
> ani skuteczny ani mądry ani ... cholera wie po co on wprowadzony i nadal
> kultywowany :-)

Ty zostałeś w tyle, bo Apple już zniosło te limity - już ich nie ma.
Ale Tobie to nie będzie przeszkadzało gadać o nich jeszcze
następne 10 lat - już Cię znam.
https://9to5mac.com/2019/06/03/ios-13-removes-200-mb
-file-size-limit-for-app-downloads-over-cellular/

do góry

W dniu 2019-06-05 o 17:51, J.F. pisze:
> Użytkownik "Marcin Debowski"  napisał w wiadomości grup
> dyskusyjnych:QBMJE.310987$D...@f...ams1...
> On 2019-06-04, J.F. <j...@p...onet.pl> wrote:
>> Użytkownik "Marcin Debowski"  napisał w wiadomości grup
>>>>> Z czego ma wynikać ta mityczna przewaga iOS w zakresie
>>>>> bezpieczeństwa?
>>>> W tej chwili głównie z kontroli aplikacji dopuszczanych do sklepu. Na
>>>> innych poziomach wydaje mi się szalonych różnic nie ma.
>>
>>> Ta kontrola tez jest iluzoryczna.
>> Ale moze model zabezpieczen lepszy.
>
>> Nie kojarzę jakiś spektakularnych wpadek z Apple Store, a w Playstore
>> było sporo. To z czego to wynika?
>
> Powtorze sie - sprawdzic program, co ma 200MB  jest nierealne.
> Ba, 20 i 2MB tez nierealne. Zreszta nikt tak nie sprawdza.
>
> Moze maja lepsza kontrole zglaszajacych ... no ale jak, jakas firemka z
> Polski, Ukrainy czy Somalii nie moze wypuscic aplikacji ?
>
> A moze troche lepszy mechanizm zabezpieczen wewnetrznych, i program moze
> niewiele zaszkodzic ani odczytac.
>
>>>> się rusza. I nie stały za nimi jakieś gównianiane firemki, ale np.
>>>> dostawcy mediów, operatorzy komórkowi, instytucje rządowe, renomowane
>>>> sieci handlowe.
>>
>>> Bo im zalezy na big data :-)
>> Wydaje mi się, że niechlustwo, szablony i tyle.
>
> Byc moze, ale sieciom handlowym to zalezy na profilu klienta :-)
>
>>>> nie uruchomię pod Andoidem niczego co potencjalnie mogłoby mi zrobić
>>>> jakieś kuku.
>>
>>> Czyli niczego ?
>>> Bo jesli mialbym cos obdarzyc zaufaniem ... to chyba tylko bankowe
>>> aplikacje.
>
>> Masz poinstalowane niesprawdzone aplikacje w tym takie co są
>> backdoorami. Se ta siedzą i czekają. Pojawia się podatność dająca root'a
>> i kto wie co wtedy da się zrobić z tymi bankowymi. Podmienić nr konta do
>> przelewu w formularzu na stronie www banku np., i parę innych.
>
> No i jak sie przed tym uchronic ?
> Nie instalowac zadnych aplikacji, czy nie instalowac bankowych ?
>
> A bank to jak obslugiwac - w marmurku ?

Musisz telefonem? Nie masz konta internetowego w banku? Nie masz karty
debetowej do konta?


--
animka

do góry