"В отличии от Android, никаких проблем с TLS не возникло: смартфон смог без проблем связаться с инстансом Invidous и получить данные о видео в трендах. " -
а можно в этом месте немного поподробнее?, какой версией TLS пришлось пользоваться, и не отключены ли там "отключает процедуру проверки SSL/TLS-сертификатов", почитал телеграмм канал и хотя там и указано, что платежки и некоторые соц сети работать не будут, вопрос в приватности данных WP8-WP10, те же VK и google/youtube аккаунты. Тема актуальна, читал где-то что (и не только читал) в Европе подумывают разрешить удаленный доступ к камерам и микрофонам телефонов, не говоря уже о перемещениях, геолокации и адресах и предпологаемом соц. положении, эта статистика может быть при желании доступна магазинам и т.д., которые даже подсчитывают сколько потенциальных покупателей проходят мимо витрин, думаю уязвимы телефоны с операционками android и ios, (хотя данные сливают и отдельные приложения) а платформа WP в силу своей малочисленности никому не сдалась. У пользователей WP есть редкая возможность оставаться относительно анонимными, пользуясь относительно современным функционалом. Если только... получить доступ к службам или сервисам какого-либо из приложений не будет крайне просто....
Цитата: SSL/TLS-соединения софта уязвимы для широкого спектра MitM-атак. При этом MitM-атаку можно провести зачастую даже без подделки сертификатов и без похищения приватных ключей, которыми серверы подписывают свои сертификаты. MitM-атаку можно провести, просто эксплуатируя логические уязвимости, которые присутствуют в процедуре проверки SSL/TLS-сертификата на стороне клиентского софта.
В результате MitM-злоумышленник может, например, собирать токены авторизации, номера кредитных карт, имена, адреса и прочее — у любого продавца, который использует уязвимые веб-приложения обработки платежей.
Поставщики мобильного софта, которые берут за основу семпл-код AdMob для связи своих приложений с AdMob-аккаунтом, тоже уязвимы — они позволяют атакующему захватывать учетные данные и получать доступ ко всем его Google-сервисам. К примеру, из-за некорректной проверки сертификатов в таких мессенджерах, как Trillian и AIM, MitM-злоумышленник может похитить учетные данные для входа ко всем сервисам Google (включая Gmail), Yahoo и также к сервисам Windows Live (в том числе SkyDrive)."
"В отличии от Android, никаких проблем с TLS не возникло: смартфон смог без проблем связаться с инстансом Invidous и получить данные о видео в трендах. " -
а можно в этом месте немного поподробнее?, какой версией TLS пришлось пользоваться, и не отключены ли там "отключает процедуру проверки SSL/TLS-сертификатов", почитал телеграмм канал и хотя там и указано, что платежки и некоторые соц сети работать не будут, вопрос в приватности данных WP8-WP10, те же VK и google/youtube аккаунты.
Тема актуальна, читал где-то что (и не только читал) в Европе подумывают разрешить удаленный доступ к камерам и микрофонам телефонов, не говоря уже о перемещениях, геолокации и адресах и предпологаемом соц. положении, эта статистика может быть при желании доступна магазинам и т.д., которые даже подсчитывают сколько потенциальных покупателей проходят мимо витрин, думаю уязвимы телефоны с операционками android и ios, (хотя данные сливают и отдельные приложения) а платформа WP в силу своей малочисленности никому не сдалась. У пользователей WP есть редкая возможность оставаться относительно анонимными, пользуясь относительно современным функционалом. Если только... получить доступ к службам или сервисам какого-либо из приложений не будет крайне просто....
Цитата: SSL/TLS-соединения софта уязвимы для широкого спектра MitM-атак. При этом MitM-атаку можно провести зачастую даже без подделки сертификатов и без похищения приватных ключей, которыми серверы подписывают свои сертификаты. MitM-атаку можно провести, просто эксплуатируя логические уязвимости, которые присутствуют в процедуре проверки SSL/TLS-сертификата на стороне клиентского софта.
В результате MitM-злоумышленник может, например, собирать токены авторизации, номера кредитных карт, имена, адреса и прочее — у любого продавца, который использует уязвимые веб-приложения обработки платежей.
Поставщики мобильного софта, которые берут за основу семпл-код AdMob для связи своих приложений с AdMob-аккаунтом, тоже уязвимы — они позволяют атакующему захватывать учетные данные и получать доступ ко всем его Google-сервисам. К примеру, из-за некорректной проверки сертификатов в таких мессенджерах, как Trillian и AIM, MitM-злоумышленник может похитить учетные данные для входа ко всем сервисам Google (включая Gmail), Yahoo и также к сервисам Windows Live (в том числе SkyDrive)."