Bezpečnost Java aplikací...

[MOFO]

Zdravím, napadla mě taková myšlenka, jak moc jsou podle vás bezpečné Java aplikace? Mán ma mysli třeba to, když se přes Operu podívám na maila, na účet v bance apod. Jestli by někdo mohl nějakým způsobem získat přístopová hesla apod. Co myslíte?

[Lakva]

No, z té Java aplikace těžko - jak by mu asi ty data dala? Musel by jí pozměnit aby mu je odeslala, nebo uchovala, a pak si je nějak vyzvednout. Což půjde asi těžko, pokud tomu útočníkovi nepůjčíš mobil...
Pak je tu možnost "odpolechu" - tedy zachycení těch dat cestou a jejich dešifrování. GSM už sice bylo prolomeno, ale pořád to myslím není úplně jednoduché, a navíc je tu další zabezpečení té komunice šifrováním normálních IP dat. Takže IMHO je to z mobilu asi skoro bezpečnější než z netu třeba přes WIFI, který se dá odposlechnout relativně snadno a pokud ani neni použitý zabezpečení kanálu, tak už pak zbejvá opravdu pouze to šifrování banky. Nicméně i to samo pro běžného srtelníka asi bohatě stačí.
Takže já bych se toho nebál...

[J.M.C]

Vůbec o tom neuvažuj!
Je to bezpečnéé

[nigol]

No u Opera mini je jeste moznost, ze by se data ukladala na serveru Opery a z nich by se dalo leccos vycist. Ovsem to si takova firma zrejme nedovoli.

[koca2]

[Jerry]

Tak to ja teda s vetsinou predchozich nesouhlasim. Java aplikace jsou celkem bezpecne v tom smyslu, ze nemuzou poskodit telefon a bez souhlasu uzivatele provadet nekalou cinnost. Asi to nebude uplne dokonale, ale o zadnem zasadnim problemu nevim. Na 6310i se sice pry podarilo prolomit virtualni stroj a ovladnout cely hardware, ale to snad byla jen demonstrace a neslysel jsem ze by to nekdo zneuzil.

Ale uplne jina vec je bezpecnost dat, ktera aplikaci prochazi. Tady to zalezi na konkretni aplikaci. Zminujes operu mini, tak tam na bezpecnost uplne zapomen. Tvuj mobil nekomunikuje primo s WWW serverem, ale se serverem Opery, ktery data predzpracovava a tudis logovani pozadavku a ukladani vsech dat je trivialni zalezitosti. Nerikam ze to delaji (tipuju jen logovani web adres), ale rozhodne tu moznost maji. Strucne receno, kdyz budou chtit, tak muzou na serveru videt vsechno co si na mobilu prohlizis, i hesla a maily.

Slozitejsi situace je u mail klientu, tady zalezi, jestli aplikace komunikuje primo s POP3 (na siemensech to jde, jinak vetsinou ne) nebo jestli aplikace komunikuje pres vlastni HTTP server, ktery komunikaci zprostredkovava. Ta druha moznost je mnohem castejsi, protoze se tak da udelat klient, ktery funguje na vsech telefonech. A pak je to podobny pripad viz vyse.
Ja jsem jeden mail klient psal. Pouzival HTTP spojeni, ale logoval jsem pouze cas, IP, telefon a mail adresu (kvuli reseni rozesilani spamu a jinym problemum, ktere by uzivatel mohl zpusobit). Zadne informace o mailech nebo dokonce heslech bych si ukladat nedovolil. Ovsem co si ukladaji jine firmy zjistit nelze a je mi jasne, jak snadne by bylo ukladani soukromych dat pridat.

Dalsi vec je bezpecnost dat po ceste. Vetsinou se data nesifruji, protoze by to mobil zdrzovalo, takze odposlech by teoreticky mozny byl, ale hlavne pro zamestnance operatora, kteri maji pristup k mistum, kudy data prochazeji. Odposlech zvenku primo GSM ze vzduchu by bylo extremne slozite, i kdyz teoreticky mozne.
Nicmene jako nejslabsi misto vidim HTTP server, ktery vetsina aplikaci pouziva k predzpracovani svych pozadavku. Jeho pouziti ma spoustu duvodu - vetsina telefonu umi jen HTTP spojeni, server ma nesrovnatelne moznosti, predzpracovanim se muze usetrit cas a data. Jenze uzivatel nikdy nevi, co se s jeho daty stane.

[sidbin]

na ucet v bance bych operu mini vubec nepouzival!!

aktivuj si na to GMS banking ....ten je bezpecny

mail bych tolik neresil
ucet v bance je dulezitejsi