Þetta er ekki gott...
http://www.the4cast.com/2013/11/quizup- ... lain-text/
http://kylerichter.com/our-responsibili ... evelopers/
QuizUp og Plain Vanilla
-
Höfundur - Besserwisser
- Póstar: 3337
- Skráði sig: Mið 08. Okt 2008 22:07
- Reputation: 35
- Staðsetning: /dev/null
- Staða: Ótengdur
QuizUp og Plain Vanilla
i7 920 @ 2.8 GHz | Gigabyte EX58-UD3R | CSX 3x2 GB DDR3 @ 1600 MHz | Gigabyte ATi Radeon HD 5850 | Sileo 500 | RealPower 600W | Corsair Force 3 120 GB | 27" FullHD | W7 x64
Re: QuizUp og Plain Vanilla
Vúúúú...
Kannski ekki eitthvað NSA-samsæri, en vissulega alvarlegur feill hjá þeim sem bjuggu til appið.
Nú er þetta væntanlega smíðað á Íslandi, er "íslenskt app", eru þá ekki íslensk persónuverndaryfirvöld sem hafa eitthvað með þetta að segja? Eða eru þau of upptekin að ráðast á ja.is?
Ef ég væri PlainVanilla þá hefði ég miklar áhyggjur af því að Apple fjarlægi appið úr versluninni, þeir eru alveg vísir til þess alveg sama þó þetta sé vinsælasta appið í dag, því Apple gæti notað þetta tilefni til að búa til dæmi úr þeim "enginn er of stór og vinsæll til að brjóta okkar skilmála" attitude.
Kannski ekki eitthvað NSA-samsæri, en vissulega alvarlegur feill hjá þeim sem bjuggu til appið.
Nú er þetta væntanlega smíðað á Íslandi, er "íslenskt app", eru þá ekki íslensk persónuverndaryfirvöld sem hafa eitthvað með þetta að segja? Eða eru þau of upptekin að ráðast á ja.is?
Ef ég væri PlainVanilla þá hefði ég miklar áhyggjur af því að Apple fjarlægi appið úr versluninni, þeir eru alveg vísir til þess alveg sama þó þetta sé vinsælasta appið í dag, því Apple gæti notað þetta tilefni til að búa til dæmi úr þeim "enginn er of stór og vinsæll til að brjóta okkar skilmála" attitude.
*-*
-
Höfundur - Besserwisser
- Póstar: 3337
- Skráði sig: Mið 08. Okt 2008 22:07
- Reputation: 35
- Staðsetning: /dev/null
- Staða: Ótengdur
Re: QuizUp og Plain Vanilla
Ég veit það ekki en ég hugsa að Persónuvernd sé ekki með neinn sérfræðing þegar kemur að hugbúnaði. En þar sem appið er gert á íslenskri grundu og er notað af fjölmörgum íslenskum notendum hlýtur það að gegna íslenskri lögsögu.
Já, það eru nokkrir hlutir sem gætu gerst. Apple gæti hent þeim út úr App Store og vinsældum þeirra dalað. Erlendu fjárfestarnir sem ætluðu að fjárfesta í þeim gætu hætt við og fyrirtækið farið á endanum á hausinn. Þeir gætu líka fengið fjársektir, frá bæði íslenskum stjórnvöldum vegna brota á persónuverndarlögum og líka bandarískum stjórnvöldum.
Appið Path fékk t.d. $800,000 dollara sekt út af einmitt sambærilegum brotum.
Já, það eru nokkrir hlutir sem gætu gerst. Apple gæti hent þeim út úr App Store og vinsældum þeirra dalað. Erlendu fjárfestarnir sem ætluðu að fjárfesta í þeim gætu hætt við og fyrirtækið farið á endanum á hausinn. Þeir gætu líka fengið fjársektir, frá bæði íslenskum stjórnvöldum vegna brota á persónuverndarlögum og líka bandarískum stjórnvöldum.
Appið Path fékk t.d. $800,000 dollara sekt út af einmitt sambærilegum brotum.
i7 920 @ 2.8 GHz | Gigabyte EX58-UD3R | CSX 3x2 GB DDR3 @ 1600 MHz | Gigabyte ATi Radeon HD 5850 | Sileo 500 | RealPower 600W | Corsair Force 3 120 GB | 27" FullHD | W7 x64
Re: QuizUp og Plain Vanilla
intenz skrifaði:Ég veit það ekki en ég hugsa að Persónuvernd sé ekki með neinn sérfræðing þegar kemur að hugbúnaði. En þar sem appið er gert á íslenskri grundu og er notað af fjölmörgum íslenskum notendum hlýtur það að gegna íslenskri lögsögu.
Já, það eru nokkrir hlutir sem gætu gerst. Apple gæti hent þeim út úr App Store og vinsældum þeirra dalað. Erlendu fjárfestarnir sem ætluðu að fjárfesta í þeim gætu hætt við og fyrirtækið farið á endanum á hausinn. Þeir gætu líka fengið fjársektir, frá bæði íslenskum stjórnvöldum vegna brota á persónuverndarlögum og líka bandarískum stjórnvöldum.
Appið Path fékk t.d. $800,000 dollara sekt út af einmitt sambærilegum brotum.
Kannski of snemmt að fara tala um einhverjar sektir, en jú, fyrirtæki hafa fengið sektir á sig fyrir svona afglöp. En ég get ekki séð hvernig Plain Vanilla gæti verið sektað af bandarískum yfirvöldum, ef fyrirtækið lýtur íslenskri lögsögu. Apple getur ekki gert neitt annað en að taka út appið, þeir geta ekki sektað fyrirtækið. Íslensk yfirvöld færu varla að tortíma vonarglætu íslenskra sprotafyrirtækja með himinháum sektargreiðslum. Fyrirtækið er alveg íslenskt, en eru með skrifstofu sýnist mér í San Francisco einnig. Það er spurning hvernig þessu er háttað hjá þeim, hvort eignarrétturinn sé bandarískur eða íslenskur. Kannski er ísland bara starfsstöð en aðalbækistöðvar í San Francisco þar sem fyrirtækið og eignarrétturinn yfir appinu er skráður. Það gæti verið líklegt útaf gjaldeyrishöftum á Íslandi, sem gerir það að verkum að fyrirtækið lýtur bandarískri lögsögu þó allt sé unnið á Íslandi!
*-*
Re: QuizUp og Plain Vanilla
appel skrifaði:intenz skrifaði:Ég veit það ekki en ég hugsa að Persónuvernd sé ekki með neinn sérfræðing þegar kemur að hugbúnaði. En þar sem appið er gert á íslenskri grundu og er notað af fjölmörgum íslenskum notendum hlýtur það að gegna íslenskri lögsögu.
Já, það eru nokkrir hlutir sem gætu gerst. Apple gæti hent þeim út úr App Store og vinsældum þeirra dalað. Erlendu fjárfestarnir sem ætluðu að fjárfesta í þeim gætu hætt við og fyrirtækið farið á endanum á hausinn. Þeir gætu líka fengið fjársektir, frá bæði íslenskum stjórnvöldum vegna brota á persónuverndarlögum og líka bandarískum stjórnvöldum.
Appið Path fékk t.d. $800,000 dollara sekt út af einmitt sambærilegum brotum.
Kannski of snemmt að fara tala um einhverjar sektir, en jú, fyrirtæki hafa fengið sektir á sig fyrir svona afglöp. En ég get ekki séð hvernig Plain Vanilla gæti verið sektað af bandarískum yfirvöldum, ef fyrirtækið lýtur íslenskri lögsögu. Apple getur ekki gert neitt annað en að taka út appið, þeir geta ekki sektað fyrirtækið. Íslensk yfirvöld færu varla að tortíma vonarglætu íslenskra sprotafyrirtækja með himinháum sektargreiðslum. Fyrirtækið er alveg íslenskt, en eru með skrifstofu sýnist mér í San Francisco einnig. Það er spurning hvernig þessu er háttað hjá þeim, hvort eignarrétturinn sé bandarískur eða íslenskur. Kannski er ísland bara starfsstöð en aðalbækistöðvar í San Francisco þar sem fyrirtækið og eignarrétturinn yfir appinu er skráður. Það gæti verið líklegt útaf gjaldeyrishöftum á Íslandi, sem gerir það að verkum að fyrirtækið lýtur bandarískri lögsögu þó allt sé unnið á Íslandi!
Ég held að þróun sé "aðkeypt" frá fyrirtæki sem er úti og "verktakinn" sé íslenska félagið.
Annars þá skimaði ég bara yfir þennan póst hjá þessum manni en svo er hann með link á http://dragonforged.com/ sem gerir einhvern trivia leik fyrir iOS þannig að maðurinn virðist ekki vera alveg hlutlaus.
Svo er þetta allt eitthvað *PLAIN TEXT* þetta og hitt en samt tekið fram að þeir nota HTTPS fyrir allt. Þannig að hann er basically að segja hvað? Ef einhver nær að fá aðgang að tækinu þínu fær hann að vita allt sem appið fær að vita? Auðvitað nokkrir alvarlegir hlutir þarna en þetta virðist vera örlítið blásið upp.
-
- /dev/null
- Póstar: 1339
- Skráði sig: Lau 11. Mar 2006 18:39
- Reputation: 100
- Staðsetning: 109 Rvk
- Hafðu samband:
- Staða: Ótengdur
Re: QuizUp og Plain Vanilla
klúður..
þeir eru örugglega á 100 að lofa bót og betrun akkúrat núna.
þeir eru örugglega á 100 að lofa bót og betrun akkúrat núna.
Intel NUC Hades Canyon 8Tb NVME +8Tb SSD +80Tb HDD, Nvidia Shield Android TV, Xbox Series X, Xiaomi 4K Projector
CAMS: Insta360 X3, X4, FLOW, GO, ACE Pro, Skydio 2. Rafskjótar: E-20, KS-16S, KS-S22, EB Commander
Búnaður: Lazyrolling Armored Jacket, Alpha Motorsport-pants, TSG Pass Pro, Fox Proframe
187 KP Wrist Guards, Leatt Dual-Axis, Kinetic DL EUC Shoes, P65 BOBLBEE Backpack
CAMS: Insta360 X3, X4, FLOW, GO, ACE Pro, Skydio 2. Rafskjótar: E-20, KS-16S, KS-S22, EB Commander
Búnaður: Lazyrolling Armored Jacket, Alpha Motorsport-pants, TSG Pass Pro, Fox Proframe
187 KP Wrist Guards, Leatt Dual-Axis, Kinetic DL EUC Shoes, P65 BOBLBEE Backpack
Re: QuizUp og Plain Vanilla
dori skrifaði:Svo er þetta allt eitthvað *PLAIN TEXT* þetta og hitt en samt tekið fram að þeir nota HTTPS fyrir allt. Þannig að hann er basically að segja hvað? Ef einhver nær að fá aðgang að tækinu þínu fær hann að vita allt sem appið fær að vita? Auðvitað nokkrir alvarlegir hlutir þarna en þetta virðist vera örlítið blásið upp.
SSL var ekki að dulkóða allt sem var sent:
Öll samskipti á milli QuizUp notenda og netþjóna Plain Vanilla eru kóðuð með SSL-dulkóðun. Vegna galla í hugbúnaðarsafni frá þriðja aðila var þessi dulkóðun ekki fullnægjandi í örfáum tilvikum.
http://www.dv.is/frettir/2013/11/26/alv ... id-quizup/
Re: QuizUp og Plain Vanilla
hkr skrifaði:dori skrifaði:Svo er þetta allt eitthvað *PLAIN TEXT* þetta og hitt en samt tekið fram að þeir nota HTTPS fyrir allt. Þannig að hann er basically að segja hvað? Ef einhver nær að fá aðgang að tækinu þínu fær hann að vita allt sem appið fær að vita? Auðvitað nokkrir alvarlegir hlutir þarna en þetta virðist vera örlítið blásið upp.
SSL var ekki að dulkóða allt sem var sent:Öll samskipti á milli QuizUp notenda og netþjóna Plain Vanilla eru kóðuð með SSL-dulkóðun. Vegna galla í hugbúnaðarsafni frá þriðja aðila var þessi dulkóðun ekki fullnægjandi í örfáum tilvikum.
http://www.dv.is/frettir/2013/11/26/alv ... id-quizup/
Ég hef ekki sett mig 100% inní þetta en var það ekki galli í 3rd party library sem gerði það að verkum að það var hægt að gera MitM árás á samskiptin?
Annað sem er miklu stærra issue IMHO og eitt af því sem þessi Kyle gæi bendir á er að PV var að senda allskonar gögn um notendur til annarra notenda sem skipta þá engu máli en eru upplýsingar sem þú vilt ekki endilega gefa öllum sem þú spilar við (facebook nafn og netfang t.d.).