info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Sicherheitsangaben Appstore
0 views
Skip to first unread message
Tim Ritberg
Dec 20, 2023, 11:18:06 AM12/20/23
to
Hi!
Bei diese App meint Google, die Daten würden nicht verschlüsselt übertragen:
https://play.google.com/store/apps/details?id=de.hansecom.klimaticket&hl=de&gl=US
"Daten werden nicht verschlüsselt"
Auf dem Handy stehts noch genauer: "Deine Daten werden nicht über eine
sichere Verbindung übertragen"
Wie kommt Google darauf? Wie kann man das nochvollziehen?
Tim
Bei diese App meint Google, die Daten würden nicht verschlüsselt übertragen:
https://play.google.com/store/apps/details?id=de.hansecom.klimaticket&hl=de&gl=US
"Daten werden nicht verschlüsselt"
Auf dem Handy stehts noch genauer: "Deine Daten werden nicht über eine
sichere Verbindung übertragen"
Wie kommt Google darauf? Wie kann man das nochvollziehen?
Tim
Axel Berger
Dec 20, 2023, 11:48:52 AM12/20/23
to
Tim Ritberg wrote:
> Wie kommt Google darauf? Wie kann man das nochvollziehen?
Wichtiger scheint mir in solchen Fällen die Frage, welche Daten. Was ist
> Wie kommt Google darauf? Wie kann man das nochvollziehen?
mit "Deine Daten" hier gemeint? Ich vermute nicht mehr als der Name der
Stadt, für die Dich das Wetter gerade interessiert.
Meine eigene Website sind komplett öffentliche Texte und Besucher können
irgendwelche Eingaben gar nicht erst machen. Das ganze ist reines http
ohne s und das wird auch so bleiben. Manche Browser lehnen in manchen
Einstellungen die Verbindung als "unsicher" ab. Was soll der Scheiß?
Schon bei einer simplen Googleabfrage kann das anders sein. Potentiell
fragt man dort Krankheiten, Symptome oder bestimmte Medikamente ab, das
geht nicht jeden was an. Aber ganz pauschal und allgemein "http ist
unsicher" wenn ich nur Artikel aus dem Lokalteil der hiesigen Zeitung
lesen will? Muß man die verschlüsselt übertragen als wärs der Zugang zum
Nummernkonto des Chefredakteurs?
Mir scheint fast, als sei der Hauptzweck des ganzen, Verwirrung zu
stiften, damit kiner mehr etwas überblickt und der echte Mißbrauch genau
dadurch um so einfacher wird.
--
/¯\ No | Dipl.-Ing. F. Axel Berger Tel: +49/ 221/ 7771 8067
\ / HTML | Roald-Amundsen-Straße 2a Fax: +49/ 221/ 7771 8069
X in | D-50829 Köln-Ossendorf http://berger-odenthal.de
/ \ Mail | -- No unannounced, large, binary attachments, please! --
Tim Ritberg
Dec 20, 2023, 12:25:46 PM12/20/23
to
Am 20.12.23 um 17:48 schrieb Axel Berger:
Tim
> Tim Ritberg wrote:
>> Wie kommt Google darauf? Wie kann man das nochvollziehen?
>
> Wichtiger scheint mir in solchen Fällen die Frage, welche Daten. Was ist
> mit "Deine Daten" hier gemeint? Ich vermute nicht mehr als der Name der
> Stadt, für die Dich das Wetter gerade interessiert.
ähm, das ist eine Deutschlandticket App.
>> Wie kommt Google darauf? Wie kann man das nochvollziehen?
>
> Wichtiger scheint mir in solchen Fällen die Frage, welche Daten. Was ist
> mit "Deine Daten" hier gemeint? Ich vermute nicht mehr als der Name der
> Stadt, für die Dich das Wetter gerade interessiert.
Tim
Arno Welzel
Dec 21, 2023, 4:13:38 AM12/21/23
to
Tim Ritberg, 2023-12-20 17:18:
Google kommt da gar nicht selber drauf. Das ist vom Anbieter selber so
eingetragen worden als Information zur App, wie auch alle anderen Angaben.
Wenn Du mehr wissen willst, frage dort nach:
<https://handyticket.de/impressum/>
Das ist der Link, der offziell als "Datenschutzerklärung" in der
App-Beschreibung verlinkt wurde.
--
Arno Welzel
https://arnowelzel.de
eingetragen worden als Information zur App, wie auch alle anderen Angaben.
Wenn Du mehr wissen willst, frage dort nach:
<https://handyticket.de/impressum/>
Das ist der Link, der offziell als "Datenschutzerklärung" in der
App-Beschreibung verlinkt wurde.
--
Arno Welzel
https://arnowelzel.de
Arno Welzel
Dec 21, 2023, 4:17:54 AM12/21/23
to
Axel Berger, 2023-12-20 17:48:
> Tim Ritberg wrote:
>> Wie kommt Google darauf? Wie kann man das nochvollziehen?
>
> Wichtiger scheint mir in solchen Fällen die Frage, welche Daten. Was ist
> mit "Deine Daten" hier gemeint? Ich vermute nicht mehr als der Name der
> Stadt, für die Dich das Wetter gerade interessiert.
>
> Meine eigene Website sind komplett öffentliche Texte und Besucher können
> irgendwelche Eingaben gar nicht erst machen. Das ganze ist reines http
> ohne s und das wird auch so bleiben. Manche Browser lehnen in manchen
> Einstellungen die Verbindung als "unsicher" ab. Was soll der Scheiß?
Der "Scheiß" soll, dass HTTPS zum Standard wird. Früher benötigte man
für HTTPS teure SSL-Zertfikate, die man regelmäßig erneuern musste.
Heutzutage ist das nur noch eine *einmalige* Einrichtung von Let's
Encrypt o.Ä..
[...]
HTTP zur Ausnahme wird. Denn auch wenn keine personenbezogenen Daten
übertragen werden, kann ein Angreifer als "man in the middle" bei HTTP
Inhalte böswillig verändern, ohne dass der Besucher es mitbekommt - z.B.
JavaScript einschleusen oder Downloads manipulieren. Die selbe Aktion
ist mit HTTPS praktisch unmöglich, wenn die Domain HSTS nutzt und im DNS
auch CAA eingetragen wurde etc..
> Tim Ritberg wrote:
>> Wie kommt Google darauf? Wie kann man das nochvollziehen?
>
> Wichtiger scheint mir in solchen Fällen die Frage, welche Daten. Was ist
> mit "Deine Daten" hier gemeint? Ich vermute nicht mehr als der Name der
> Stadt, für die Dich das Wetter gerade interessiert.
>
> Meine eigene Website sind komplett öffentliche Texte und Besucher können
> irgendwelche Eingaben gar nicht erst machen. Das ganze ist reines http
> ohne s und das wird auch so bleiben. Manche Browser lehnen in manchen
> Einstellungen die Verbindung als "unsicher" ab. Was soll der Scheiß?
für HTTPS teure SSL-Zertfikate, die man regelmäßig erneuern musste.
Heutzutage ist das nur noch eine *einmalige* Einrichtung von Let's
Encrypt o.Ä..
[...]
> Mir scheint fast, als sei der Hauptzweck des ganzen, Verwirrung zu
> stiften, damit kiner mehr etwas überblickt und der echte Mißbrauch genau
> dadurch um so einfacher wird.
Nein. Es geht darum, dass man HTTPS grundsätzlich immer nutzen kann und
> stiften, damit kiner mehr etwas überblickt und der echte Mißbrauch genau
> dadurch um so einfacher wird.
HTTP zur Ausnahme wird. Denn auch wenn keine personenbezogenen Daten
übertragen werden, kann ein Angreifer als "man in the middle" bei HTTP
Inhalte böswillig verändern, ohne dass der Besucher es mitbekommt - z.B.
JavaScript einschleusen oder Downloads manipulieren. Die selbe Aktion
ist mit HTTPS praktisch unmöglich, wenn die Domain HSTS nutzt und im DNS
auch CAA eingetragen wurde etc..
Tim Ritberg
Dec 21, 2023, 6:31:48 AM12/21/23
to
Am 21.12.23 um 10:13 schrieb Arno Welzel:
Welcher Parameter ist da für die Verschlüsselung?
Tim
>> Wie kommt Google darauf? Wie kann man das nochvollziehen?
>
> Google kommt da gar nicht selber drauf. Das ist vom Anbieter selber so
> eingetragen worden als Information zur App, wie auch alle anderen Angaben.
>
Du meinst die Manifest.xml?
>
> Google kommt da gar nicht selber drauf. Das ist vom Anbieter selber so
> eingetragen worden als Information zur App, wie auch alle anderen Angaben.
>
Welcher Parameter ist da für die Verschlüsselung?
Tim
Arno Welzel
Dec 21, 2023, 6:38:56 AM12/21/23
to
Tim Ritberg, 2023-12-21 12:31:
> Am 21.12.23 um 10:13 schrieb Arno Welzel:
>>> Wie kommt Google darauf? Wie kann man das nochvollziehen?
>>
>> Google kommt da gar nicht selber drauf. Das ist vom Anbieter selber so
>> eingetragen worden als Information zur App, wie auch alle anderen Angaben.
>>
>
> Du meinst die Manifest.xml?
Nein, das was man als Anbieter selber online ausfüllen muss, wenn man
eine App veröffentlichen will. Google verlangt da diverse Angaben, ganz
klassisch per Formularen.
> Am 21.12.23 um 10:13 schrieb Arno Welzel:
>>> Wie kommt Google darauf? Wie kann man das nochvollziehen?
>>
>> Google kommt da gar nicht selber drauf. Das ist vom Anbieter selber so
>> eingetragen worden als Information zur App, wie auch alle anderen Angaben.
>>
>
> Du meinst die Manifest.xml?
eine App veröffentlichen will. Google verlangt da diverse Angaben, ganz
klassisch per Formularen.
Tim Ritberg
Dec 21, 2023, 7:06:53 AM12/21/23
to
Am 20.12.23 um 19:05 schrieb Stefan Ram:
> "usesCleartextTraffic" setzen, um damit zu erklären, ob sie
> unverschlüsselte Verbindungen nutzen wollen. Dieses für den Appstore
> auszuwerten wäre für Google einfach. Jedoch gäbe es für Apps
> auch Möglichkeiten, diese Art von Absicherung zu umgehen. Umgekehrt
> kann man aus "usesCleartextTraffic" auch nicht sicher folgern,
> daß tatsächlich unverschlüsselte Verbindungen genutzt werden.
>
>
kann ich in der XML nicht finden.
Tim
> Tim Ritberg <t...@server.invalid> writes:
>> Auf dem Handy stehts noch genauer: "Deine Daten werden nicht über eine
>> sichere Verbindung übertragen"
>> Wie kommt Google darauf? Wie kann man das nochvollziehen?
>
> Apps können seit Android 14 in ihrer Manifest-Datei das Attribut
>> Auf dem Handy stehts noch genauer: "Deine Daten werden nicht über eine
>> sichere Verbindung übertragen"
>> Wie kommt Google darauf? Wie kann man das nochvollziehen?
>
> "usesCleartextTraffic" setzen, um damit zu erklären, ob sie
> unverschlüsselte Verbindungen nutzen wollen. Dieses für den Appstore
> auszuwerten wäre für Google einfach. Jedoch gäbe es für Apps
> auch Möglichkeiten, diese Art von Absicherung zu umgehen. Umgekehrt
> kann man aus "usesCleartextTraffic" auch nicht sicher folgern,
> daß tatsächlich unverschlüsselte Verbindungen genutzt werden.
>
>
kann ich in der XML nicht finden.
Tim
Tim Ritberg
Dec 21, 2023, 7:16:58 AM12/21/23
to
Am 21.12.23 um 12:38 schrieb Arno Welzel:
> Das ist der Link, der offziell als "Datenschutzerklärung" in der
> App-Beschreibung verlinkt wurde.
Die Datenschutzerklärung faselt was von "transportverschlüsselt".
Interessant...
Tim
>
> Nein, das was man als Anbieter selber online ausfüllen muss, wenn man
> eine App veröffentlichen will. Google verlangt da diverse Angaben, ganz
> klassisch per Formularen.
>
>
Ach so, weil die Permissions sehe ich in dem XML.
> Nein, das was man als Anbieter selber online ausfüllen muss, wenn man
> eine App veröffentlichen will. Google verlangt da diverse Angaben, ganz
> klassisch per Formularen.
>
>
> Das ist der Link, der offziell als "Datenschutzerklärung" in der
> App-Beschreibung verlinkt wurde.
Interessant...
Tim
Tim Ritberg
Dec 21, 2023, 7:31:51 AM12/21/23
to
Am 21.12.23 um 13:21 schrieb Stefan Ram:
> Tim Ritberg <t...@server.invalid> writes:
> ...
> bei Programmen für ältere Android-Versionen angenommen, daß sie
> unverschlüsselte Verbindungen nutzen und bei neueren daß nicht.
>
>
Verstehe ich nicht.
Diese Angabe kann ich eh nur online nachsehen.
App-Info zeigt es nicht und ich habe auch Android 13.
Tim
> Tim Ritberg <t...@server.invalid> writes:
> ...
>>> "usesCleartextTraffic" setzen, um damit zu erklären, ob sie
> ...
>> kann ich in der XML nicht finden.
>
> Wenn zu "usesCleartextTraffic" keine Angaben gemacht werden, wird
>
> bei Programmen für ältere Android-Versionen angenommen, daß sie
> unverschlüsselte Verbindungen nutzen und bei neueren daß nicht.
>
>
Verstehe ich nicht.
Diese Angabe kann ich eh nur online nachsehen.
App-Info zeigt es nicht und ich habe auch Android 13.
Tim
Arno Welzel
Dec 22, 2023, 5:34:25 AM12/22/23
to
Tim Ritberg, 2023-12-21 13:16:
Ja, wäre auch seltsam, wenn sie nicht HTTPS o.Ä. nutzen würden.
Tim Ritberg
Dec 27, 2023, 9:45:52 AM12/27/23
to
Am 22.12.23 um 11:34 schrieb Arno Welzel:
Muss wohl eine Strategie sein, die Leute zu verwirren :-D
Tim
> Ja, wäre auch seltsam, wenn sie nicht HTTPS o.Ä. nutzen würden.
>
Ich habe heute noch mal das OR-PDF bekommen, für Januar 2024.
>
Muss wohl eine Strategie sein, die Leute zu verwirren :-D
Tim
0 new messages