Názory k článku
Společnost za aplikací WhatsApp hrozí soudem autorům API
-
Peter (neregistrovaný)
Nejako sa neviem dopátrať dôvodu prečo by mala dať tá spoločnosť na súd vývojárov alternatívneho API. Ako je už približne 10 rokov známe, tak samotné API sa nedá utajovať: http://tidbits.com/article/6980 . A hroziť niekomu súdom len preto že poukázal na závažný bezpečnostný nedostatok je krásna ukážka FUD-u.
-
Pavel (neregistrovaný)
"Komunita" vytvoří pomocí reverse-engineeringu API které je děravé jako řešeto.
Bezpečnostní experti na to upozorní.
Firma, k jejíž službě je toto mizené API komunitou vytvořeno pohrozí vývojářům onoho API aby s tím něco udělali jinak ať si takové API strčí někam a nesou za něj zodpovědnost.
Ti s tím nic dělat nehodlají, alibisticky ho jenom stáhnou ze svého účtu.
Firma je pak v diskusi známými svobodomyslnými diskutéry napadena že s takovým přístupem tedy rozhodně ne! Firma přece měla to API vzít a opravit, proč by to měla dělat komunita která ho vytvořila? A cháchá, děravé API už se svobodně šíří a tak si tu bezpečnostní díru může nainstalovat a používat kdo chce. Kdepak na komunitu, na tu si zlá firma jen tak nepřijde.
-
Toto shrnutí je špatné. Neumíš číst.
V článečku je jasně napsáno, že problém se týká způsobu používání této aplikace a API získané reverzním inženýrstvím pouze poukázalo na slabiny v zabezpečení.
Společnost provozující WhatsApp namísto zabezpečení komunikace mezi klientem a serverem tak, aby nemohlo dojít k odposlechnutí důležitých údajů, pouze soudně napadla vývojáře a donutila je toto rozhraní stáhnout.
To ale znamená, že aplikace je nadále napadnutelná, důležité informace odposlechnutelné a zneužitelné.
A toto je předmětem kritiky.
-
Sadam (neregistrovaný)
Ty asi nejsi programator co ? Svobone api je pouze implementace("kopie" funkci) toho sameho (nesvobodneho api)
problem v tomto pripade je ze samotny navrh proprietarniho API obsahuje bezpecnostni chybu jak prase, kdyz toto api chces reimplementovat tak musis volat stejne funkce a posilat stejna data (tzn chybu musis presnest i do svobodne implementace daneho proprietarniho API aby ta svobodna implementace fungovala stejne jako proprietarni)Problem vznikl v tom ze kdyz neexistovala svobodna implementace tak o te chybe nikdo nevedel (ale celou dobu tam byla), jakmile nekdo zreimplementoval toto proprietarni API jako svobodne a uverejnil ho tak jej programatori zacali pouzivat a nekdo z nich si vsiml teto chyby v navrhu API (ktera plati jak pro proprietarni tak pro svobodnou implementaci)
Tim padem chyba je na strane dane firmy co vytvorila/navrhla dane proprietarni API a je take na ni aby si tuto chybu ve sve proprietarni verzi opravila (tato oprava se zase prenese reverznim inzenyrstvim do svobodne verze api)
-
Karel (neregistrovaný)
API je jen způsob, jak s něčím komunikovat a předávat mu parametry. Ten reverse engineering znamená, že komunita zjistila, jaké všechny příkazy jde tomu serveru poslat. Zjistila, nikoliv stanovila. No a jak se ukázalo, tak server ochotně zpracuje i podvržené příkazy.
No a místo aby opravili server tak, aby podvržené příkazy nezpracoval, tak se snaží vyhrožovat těm, co na to přišli. Ale však to znáte, ti starší z nás ještě pamatují, když auta měla zámky. Dnes už se nic jako klíč k autu nepoužívá, auto se nezamyká a startuje se tlačítkem. Proč by kdo používal zámky, když nás chrání legislativa? Ukrást auto je přeci zločin.
-
Sten (neregistrovaný)
Auto se zamyká i dnes, ale používají se na to bezkontaktní karty a bez přítomnosti správné karty firmware motoru odmítne nastartovat, nakonec si to můžete sám vyzkoušet. A v USA je to dokonce naopak, tam bývalo zvykem auta klíčem nezamykat, zatímco ty karty jej zamknou automaticky.
-
Stačí se podívat, jak třeba implementovali šifrování: http://pastebin.com/g9UPuviz
Nebo na Security concerns na http://en.m.wikipedia.org/wiki/WhatsApp#section_2
