Beiträge von cprbrn

Zitat von AuroraBlue

Es verstößt nunmal gegen den Digital Markets Act, seine Marktbeherrschung zur Unterdrückung des freien Wettbewerbs einzusetzen oder solche Praktiken mit Zwängen gegenüber Kunden zu unterstützen.

Da stimme ich komplett zu. Wobei man da meiner Meinung auch nochmal zwischen veralteten Systemen und „Fremdsystemen“ unterscheiden muss.

Hier gibts ja aktuell eigentlich zwei Baustellen.

Und ja, teilweise ist es dumm, dass es mehr ums Prinzip als um die Technik an sich geht. Beispielsweise bei Haftungsfragen oder rechtlichen Vorgaben. Aber das gehört nunmal leider dazu.

Und obwohl ich durchaus gerne bastle, bin ich absolut überzeugter und zufriedener Apple-User.

Jedes Gerät wurde bisher länger mit Updates versorgt, als ich es je besessen habe. Alles funktioniert.

Wenn’s im Umfeld Probleme mit dem Smartphone gab, dann war dort zu 90% hinten kein angeknabberter Apfel drauf.

Im beruflichen Kontext genau so. Welche Geräte Stressen? Irgendwelche Android-Krücken mit Browser-Engines aus dem 19 Jahrhundert.

Das ist ähnlich schlimm wie zu Zeiten des Internet-Explorers vor über 15 Jahren.

Ich möchte aber auch nich den klassischen Glaubenskrieg entfachen.

Bevor ich ein vom Hersteller verdrehtes Android mit integrierter Datenkrake nutzen würde, würde ich auch lieber eine andere Distribution installieren.

Und wenn sich mehr Hersteller (egal ob von Smartphone oder Auto) besser um die Softwarewartung kümmern würden, würden solche Diskussionen auch gar nicht erst entstehen.

Zitat von AuroraBlue

Die ganze Welt der vernetzten Computer funktioniert so. Alle Clouds.

Nicht korrekt. Gibt noch so Dinge wie VPN, IP-Whitelists etc.

Und was hat das App-Thema jetzt mit dem Mobilfunk zu tun?

Zitat von AuroraBlue

Du wirst nie verstehen, dass Google hier das Problem ist und jeder der wie VW/Cupra in deren Hintern steckt.

EOT.

Dann aber auch Apple, weil die bieten eine ähnliche Technologie an.

Nur dass Apple-Geräte hier aus bekannten Umständen deutlich seltener Probleme durch Inkompatibilitäten hat.

Zitat von AuroraBlue

Aus der IT Sicherheit schonmal nicht.

Aber ganz sicher kommt sie daher.

Härtung der API. Defense in Depth.

Statt sich nur auf eine Maßnahme zu verlassen, geht man das Thema gestaffelt an.

U.A schließt man die Anfragen aus, die gar nicht von den eigenen Anwendungen kommen. Dann gibts noch die Verifizierung, Rate-Limits, Verschlüsselungen etc.

Geht auch nicht nur um Sicherheit, sondern auch um Stabilität.

Google und Apple bieten Technologien an, um diese Schutzmaßnahmen umzusetzen.

Alte Systeme oder Geräte mit Fremdsoftware sind ausgeschlossen.

Bei den alten Systemen sind wir uns hoffentlich einig, dass diese ohne aktive Wartung ein Sicherheitsrisiko sind.

Und bei der Fremdsoftware werden keine zusätzlichen Ressourcen für alternative Sicherheitsmechanismen eingesetzt, da die von Google bereitgestellte Technik dort nicht funktioniert.

Ist schade, aber letztendlich auch eine wirtschaftliche Entscheidung.

Zitat von AuroraBlue

Ja stimmt. Bei der Realitätsverweigerung und Buzzword Bingo auf unterster Manager Ebene machen Fachgespräche wirklich keinen Sinn.

Ich bin Softwareentwickler und entwickle u.A. Systeme (unter macOS), die dann auf Linux Servern laufen. Auch mit Schnittstellen und so.

Für den einen ist es ein Buzzword-Bingo, für den anderen sind es Fachbegriffe.

Ich weiß, wie anstrengend Menschen sein können, die sich nur ultimativ auf ein System einschließen. Genau anstrengend finde ich aber die Menschen, die in ihrer Bubble aus eigenen Entwicklungen leben und nicht verstehen, warum Oma Erna auf ihrem Smartphone nicht einfach den Kernel selber patched und Opa lieber Windows 10 statt Gentoo benutzt.

Weiterhin bin ich auch kein Fan von den Softwareergebnissen, die man von Cupra so bekommt.

Die Änderung der Mindestanforderungen kreise ich ihnen nicht an.

Man hätte es aber deutlich vorher sinnvoll kommunizieren können. Am

Besten Monate vorher in der App.

Dann gibt’s auch keine blöden Überraschungen.

Zitat von Blueskin

Und das ist tatsächlich quasi ein unabänderliches "Naturgesetz"?🤔 (Ehrliche Frage!)

Ja, denn Software unterliegt (zum Glück) einer kontinuierlichen Weiterentwicklung. Man kann es aber auch auf greifbare Dinge anwenden.

Vor vielen Hundert Jahren war z.B. so ein Türschloss der heiße Scheiß:
Gemini_Generated_Image_kzf8h4kzf8h4kzf8.jpg

Irgendwann haben sich dann Menschen damit befasst, diese Schlösser zu knacken. Also haben wiederum andere Menschen noch sicherere Schlösser gebaut. Die wiederum geknackt worden sind.

Resultat? Heutzutage gibts irre mechanische Türschlösser, die mit der Urform im Mittelalter nur noch wenig zu tun haben.
Und selbst bei diesen geht es nicht um "unknackbar", sondern um "wie schwer ist es und wie lange dauert es, das Schloss zu knacken?"

Mehrere Generationen später würde der Schlossherr vermutlich so etwas einbauen lassen:
Gemini_Generated_Image_n63mspn63mspn63m.jpg

Mit Software ist es nicht viel anders. Man kann sie nur nicht anfassen. Und die Schlüssel sind nicht aus Metall, sondern bestehen aus Einsen und Nullen.

Zitat von Blueskin

Okay, also System EAhv (Ein Anderer hat's verbockt.)

Das ist natürlich wirklich blöd, wenn man sich drauf verlassen hat (oder verlassen musste), dass die Basis/alle Komponenten okay sind.

Das Prinzip gibt es auch in der Finanzbranche, wenn mal wieder ein "jetzt aber wirklich fast beinahe sicheres" System Kundengeld vernichtet - oder besser gesagt einem anderen Besitzer zugeführt - hat.

War dann halt blöd, wenn der Fondsmanager geglaubt hat, dass zugrunde liegende Objekte/Index/andere Fonds okay sind. Pech für den Kunden, aber leider unvermeidbar 😉

Auch das ist in vielen Fällen nicht anders.

Nehmen wir mal an, Du baust ein Haus. Alles ist toll und Du wohnst da total glücklich drin.

Plötzlich stehst Du morgens in der Küche und entdeckst einen fetten Riss in der Mauer. Der geht durchs gesamte Haus. Draußen sind sogar schon Steine aus der Fassade gefallen.

Was ist passiert? Tief unter Deinem Haus ist ein alter Bergbaustollen zusammengebrochen. Das Bergwerk hat schon vor vielen Jahren das Abbaugebiet aufgegeben und die Strecke sich selbst überlassen.

Wer ist jetzt Schuld? Das Bauunternehmen, welches Dein Haus gebaut hat? Das kann ja nichts dafür, dass plötzlich die Erde wackelt. Oder vielleicht doch, weil sie hätten wissen müssen, dass das Haus in einer Bergbauregion gebaut wird? Oder vielleicht Du selbst, weil Du es ebenfalls hättest wissen können?
Oder ist das Bergwerk schuld, weil sie sich nicht ausreichend um die Sicherung gekümmert haben?

Oder erwartest Du als Besitzer, dass das Bauunternehmen über Jahre das Fundament hätte ausbauen müssen, um der Situation entgegenzuwirken?

Das Bergwerk ist hier der Anbieter des Smartphones, der Bauunternehmer ist der App-Anbieter.

Zitat von Blueskin

Man stelle sich jetzt vor, die versammelte Ärzteschaft sagt dann "Ja, das ist halt so, da können Sie als Laie nicht mitreden. Hätten Sie eben in ein anderes Krankenhaus gehen müssen. " (Und ich dachte doch echt, die Tierklinik sei eine gute Wahl🤪)

Und genau deshalb finde ich es wichtig, dass man Dinge hinterfragt und umgekehrt eigenes Wissen weitergibt.
Ein "ich weiß es besser" trifft oft genauso auf Ablehnung wie ein "ihr habt doch alle keine Ahnung".

Zitat von AuroraBlue

Dazu reichen gültige Zugangsdaten. Außer der eigene Kunde ist der Feind und man will verhindern, dass er an die eigenen Daten und Funktionen kommt. Ups...

Nein, das reicht nicht aus.

Wenn man z.B. sicherstellen will, dass es erst gar nicht bis zur Authentifizierung kommt, benötigt man weitere Maßnahmen.

Dies dient der Sicherheit und Systemstabilität. Hat auch irgendwann rechtliche Gründe für irgendwelche Sicherheitsvorgaben.

Zitat von AuroraBlue

Also eine Scheinlösung aus der Marketingabteilung um Monopole zu zementieren.

Diese Lösung kommt sicher nicht aus dem Marketing. Es wurde vielmehr entschieden, dass man die von Systemanbieter bereitgestellten Sicherheitslösungen nutzt.

Hier geht es auch darum, Verantwortung weiterzugeben bzw. diese Verantwortung gar nicht erst anzunehmen.

Jemand aktualisiert sein Betriebssystem nicht oder der Hersteller stellt keine Updates mehr bereit? -> Nicht das Problem des Anbieters.

Jemand nutzt eine Android-Version, welche so nicht vom Smartphone-Hersteller ausgegeben worden ist oder die Plattform zur App-Bereitstellung (Google Play Store) nicht nutzt/umgeht? -> Nicht das Problem des Anbieters.

Irgendwo ist halt mal Schluss.

Wenn man ein eigenes System auf den Smartphones installiert, sollte man sich bewusst sein, dass es möglicherweise Inkompatibilitäten gibt. Selbst dann, wenn diese nur organisatorischer/rechtlicher Natur sind und nicht technisch begründbar sind.

Zitat von Blueskin

Ist das so etwas wie ein unveränderliches Naturgesetz, dass System-Entwickler über Jahre hinweg die (Sicherheits-)Lücken in ihren eigenen Programmen nicht entdecken, aber irgendwelche Hacker schon?

Und dass deren Berufskollegen das als völlig normal ansehen?

Ich frage mich das ernsthaft!

Ich bin jetzt mal sehr direkt: Sorry, aber du hast absolut keine Ahnung, enttäuschenderweise aber auch kein Vertrauen in die Menschen, die es deutlich besser wissen als Du.

Eine Software ist nie fertig und nie 100% sicher. Das gesamte Umfeld unterliegt einer extremen Dynamik. Außerdem gibt es auch nicht "DIE SOFTWARE", sondern jedes System der Welt basiert irgendwie auf anderen Systemen. Es kann also sein, dass es eine Sicherheitslücke in einer Komponente gibt, die man nutzt, selbst aber nicht entwickelt hat.

All dies ist NORMAL. Digitale Evolution.

Zitat von Blueskin

Denn auch die (zugeben wenigen) ITler in meinem Freundeskreis schwurbeln bei dem Thema immer gewaltig herum und "Sicherheitslücken" scheinen quasi gottgegeben fester Bestandteil jeglicher Programme zu sein.

Dann geh doch mal tief in Dich und überlege, ob ALLE Fachkräfte in dem Bereich falsch liegen und Du als absoluter Laie recht hast.
Oder ob es nicht doch in Wahrheit umgekehrt ist.

Zitat von AuroraBlue

Eine Haftungsfreistellung per "Ich kenne die Risiken" wäre da vielleicht echt eine Lösung.

Nein, nicht unbedingt.

Grund: Die Gegenseite, also der Server, muss die Anfrage auf "Echtheit" überprüfen. Kommt sie also von einer originalen App auf einem sicheren Gerät? Oder gar von einer manipulierten App oder sogar einem Drittsystem? Ist es vielleicht sogar eine böswillige Anfrage, die versucht irgendwelche Zugangsdaten auszutesten?

Sowohl Apple, wie auch Google bieten dafür entsprechende technische Lösungen. Diese funktionieren nur ggf. nicht mehr in Systemen, die generell nicht mehr gewartet werden.
Und das finde ich auch vollkommen okay.

Zitat von Blueskin

Dort kaufen sich tatsächlich Menschen das Smartphone, welches ihnen - und ihrem Geldbeutel - gerade gefällt und das wird dann einfach benutzt.

Und wenn es nicht ins Klo fällt, das Kopfsteinpflaster küsst oder der (fest verbaute) Akku die Grätsche macht, wird das Gerät erst entsorgt, wenn der Reiz einer besseren Kamera im neueren Gerät zu laut ruft.

Und da gilt dann der Satz: "Wer billig kauft, kauft zwei Mal".

Es kann nicht das Problem von App-Herausgebern sein, wenn irgendwelche Smartphonehersteller sich nicht um die Wartung der Software kümmern.

Beispielsweise liefert Google entsprechende Lösungen, damit man die Datenübertragung (App <-> Server) soweit absichern kann, dass eine Manipulation und nicht gewollte Zugriffe möglichst unterbunden werden.
Dies ist absolut sinnvoll und dient der Sicherheit aller. (Ja, auch der, die ein neues Smartphone haben!)

Wenn diese Sicherheitslösungen aber nicht mehr auf alten Betriebssystemen laufen, muss man entscheiden: Nachteile für alle eingehen, nur weil eine kleine Gruppe veraltete Betriebssysteme nutzt?
Ich habe da eine klare Meinung zu.

Zitat von chris1821

Ich habe ein Iphone 13, bin weder IT'ler noch brauche ich immer das neueste Smartphone, aber wenn ich weiß, dass mein Iphone nicht mehr geupdatet wird, dann wird es ausgetauscht. Das ist einfach der gesunde Menschenverstand, dafür muss man kein IT-Nerd oder Protzer sein.

Und "lustigerweise" gibt es diese ganzen Diskussionen auch nicht in der Apple-Welt. Apple bietet über viele Jahre eine aktive Softwarewartung für die Geräte an. In vielen Fällen weit über die Lebensdauer hinaus.
Problematisch ist es primär bei billigen Android-Smartphones, bei denen die Hersteller einfach einen feuchten Dreck auf Updates geben.

Und als Entwickler kann ich Euch sagen: Die Berücksichtigung alter Systeme ist teilweise die absolute Hölle.

Ich glaube die Kombination aus Cupra Born und (günstigem) Android-Smartphone ist der ultimative Schmelztiegel für schlechte Softwarewartung.

Zitat von AuroraBlue

Außerdem: Auch ein aktuelles Android ist nicht sicher. Alleine in den letzten 2 Monaten wurden ein dutzend kritische CVEs gefixt, darunter sogar ein geheimer, schwerwiegender.

Mit dem großen Unterschied: Es werden Fixes bereitgestellt.
Ein Betriebssystem mit bereitgestellten Sicherheitsupdates ist also potentiell sicherer als ein System, welches generell keine Sicherheitsupdates mehr erhält.

Neben der eigentlichen Sicherheit geht es natürlich auch um die Softwareentwicklung. Irgendwann wird es immer ätzender, wenn man eine Abwärtskompatibilität zu Uralt-Systemen aufrechterhalten muss.

Zitat von AuroraBlue

Und sich dafür ein aktuelles LineageOS zu holen, mit aktuellen Patches, macht es angeblich unsicherer. Da wird es dann abstrus.

Da stimme ich zu. Wobei dies auch ein echter Edge-Case ist.

Die meisten Menschen nutzen vermutlich total unwissend eine uralte unsichere Android-Version. Die wenigsten werden sich wohl vor dem Kauf über die zu erwartende Support-Zeit durch den Hersteller informiert haben.

Zitat von Mr. President

ich bin überzeugt, dass mein altes Smartphone mit android 12 genauso sicher ist wie dein neues mit Android 14, 15 oder 16

Da weicht Deine Überzeugung leider von der Realität ab.

Cupra macht hier meiner Meinung nach (tatsächlich mal) alles richtig und unterbindet die Nutzung der eigenen App auf nicht mehr sicheren Betriebssystemen.
Nicht mehr sicher ist ein System, welches nicht mehr durch den Hersteller mit Sicherheitsupdates etc. versorgt wird. Das ist bei Dir der Fall.

Leider sind solche drastischen Schritte oft notwendig, da viele Menschen mangels IT-Wissen in dem Bereich ein falsches Sicherheitsgefühl haben.

Niemand wird dich aktiv gezielt hacken. Da sitzt kein Hacker in Skimaske, der es bewusst auf Dich abgesehen hat.
Es ist viel wahrscheinlicher, dass eine Sicherheitslücke in deinem Betriebssystem vollautomatisch z.B. durch Schadsoftware ausgenutzt wird.

Schuld ist hier also meiner Meinung nach vielmehr der Hersteller Deines Smartphones, welcher sich nicht ordentlich um die Softwarewartung kümmert. Andere Hersteller (meist höherpreisiger Geräte) tun dies.