Vlákno názorů k článku
Zařízení s Androidem lze odemknout zadáním jakéhokoliv dlouhého hesla
od Natix - Neprůstřelný fix, který zaručí, že k podobnému problému...
-
Natix (neregistrovaný)
Neprůstřelný fix, který zaručí, že k podobnému problému už nikdy nemůže znovu dojít:
https://android.googlesource.com/platform/frameworks/base/+/8fba7e6931245a17215e0e740e78b45f6b66d590A reakce supportu na upozornění, že toto opravdu nestačí (poslední 2 komentáře):
https://code.google.com/p/android/issues/detail?id=178139 -
Pavel TišnovskýZlatý podporovatelHmm chapu to dobre tak, ze kdyz si nekdo da tu praci a nadatli 501 znaku do hesla, tak se tam stejne dostane? (priznam se, ze jsem to necetl cele)
-
Natix (neregistrovaný)
Ten atribut maxLength opravdu zaručí, že do toho textfieldu nepůjde napsat více než 500 znaků. Průšvih je ale v tom, že toto řeší pouze jeden projev mnohem hlubšího problému: Pokud ze screenlock aplikace vyletí výjimka, tak se ukončí a dostanete se na plochu. Ale podle pana Billyho z Android Security Teamu to je přece v cajku. :)
-
Pavel TišnovskýZlatý podporovatel
Aha jasně, díky. Takže screenlock nic nenastavuje (nějakej flag že je session zamčena), jen je ve fullscreenu a má exklusivitu na vstupy...
-
nobody (neregistrovaný)
a jak asi funguje napr. xscreensaver, light-locker? uplne stejne...
teda to ze omezili velikost vstupniho pole ktere pusobilo pad lockeru je v poradku, az narazis na jinej zpusob shozeni lockeru opravi se to, co je na tom divneho nechapu, pokud by se nastavoval flag tak muze byt problem/bug/dira v tom, znamena to ze jedine reseni je vyndat baterku a telefon nepouzivat? :) -
Pavel TišnovskýZlatý podporovatel
Jj funguje to asi stejně blbě, já to nerozporuji ani nenavrhuji nějaké lepší řešení, nicméně jsem tak nějak logicky očekával, že na A. screensaver říká oznamuje ostatním aplikacím a systému, že je zapnutej.
[Proč blbě? - v managovaném jazyku snad dokážou případnému pádu zabránit ne? Minimálně tady určitě...]
-
Zajimave na to zablogoval Martin G. (autor kwin, KDE lockscreen) - http://blog.martin-graesslin.com/blog/2015/09/lock-screen-security-of-phones/
-
karel (neregistrovaný)
No to je inspirace v prihlasovani do windows,
kde login bezu jako aplikace pod pravy uzivatele system coz je jeste vic jak admin, take se toho zneuzivalo ze ste si vyvolali conzolu pustili explorer a pak se prepli na plochu uzivatele system, naposledy sem to delal v sedmickach -
Podobne se resil muj oblibeny bug http://www.g-sec.lu/one-bug-to-rule-them-all.html - autori browseru se dohodli na jednom cisle, ktere by snad mohlo fungovat vsude :).
