Comments 13
Спасибо, обновил.
Какая-то нездоровая ситуация, когда пользователю предлагают скачать security update мало того, что не из маркета, так ещё и по короткой ссылке, которая к тому же не на https :)
http://download.viber.com/viber.apk
http://download.viber.com/viber.apk
В запросе не требуется никакой аутентификационной информации, тело ответа для всех клиентов одинаковое. Какой смысл в HTTPS для скачивания апдейта? Разве что в валидации домена, но кто обращает внимание на ошибки вида untrusted issuer для самоподписанных сертификатов?
«но кто обращает внимание на ошибки вида untrusted issuer для самоподписанных сертификатов?»
Тот, кто осведомлён о том, что это значит.
Тот, кто осведомлён о том, что это значит.
Окей, при подмене домена оба этих человека не поставят обновление. Остальным миллионам — все равно. Следовательно, SSL/TLS в данном случае, по большому счету, бессмысленен и приводит лишь к растрате ресурсов.
Технические специалисты должны бороться с невежеством, а не потакать ему. Я не пожалел времени на то, чтобы объяснить смысл https своим родным и друзьям, зато теперь спокоен, что они никогда не станут доверять сайту с self-signed certificate. И прецеденты показали, что объяснение было достаточно понятным.
А в вас я бы кинул камнем.
А в вас я бы кинул камнем.
Научно-технический прогресс направлен как раз на то, чтобы мои родные знали как можно меньше про такие вещи TLS, IPSec и как открывать портвейн об книжку, если можно использовать штопор.
Технические специалисты должны принимать оптимальные решения, а не совать все что попало во все дыры.
Вы спокойны, когда используете не-self-signed сертификаты? Окей, а вы, например, объяснили своим родным об уязвимостях в некоторых потоковых шифрах, применяемых в SSL/TLS разных версиях? Ваши родные морщатся при использовании SSL v2? Форсируют использование TLS v1.2 в броузерах?
Технические специалисты должны принимать оптимальные решения, а не совать все что попало во все дыры.
Вы спокойны, когда используете не-self-signed сертификаты? Окей, а вы, например, объяснили своим родным об уязвимостях в некоторых потоковых шифрах, применяемых в SSL/TLS разных версиях? Ваши родные морщатся при использовании SSL v2? Форсируют использование TLS v1.2 в броузерах?
Дурака лелеют, дурака заботливо взращивают, дурака удобряют, и не видно этому конца… Дурак стал нормой, еще немного — и дурак станет идеалом, и доктора философии заведут вокруг него восторженные хороводы. А газеты водят хороводы уже сейчас. Ах, какой ты у нас славный, дурак! Ах, какой ты бодрый и здоровый, дурак! Ах, какой ты оптимистичный, дурак, и какой ты, дурак, умный, какое у тебя тонкое чувство юмора, и как ты ловко решаешь кроссворды!.. Ты, главное, только не волнуйся, дурак, все так хорошо, все так отлично, и наука к твоим услугам, дурак, и литература, чтобы тебе было весело, дурак, и ни о чем не надо думать… А всяких там вредно влияющих хулиганов и скептиков мы с тобой, дурак, разнесем (с тобой, да не разнести!).
На самом деле Viber изначально, при установке, спрашивает разрешение на отключение экрана блокировкиКакая-то странная система блокировки, если любое приложение может её отключить.
Хотя, у меня такое чувство, что это никакая не системная блокировка, а просто обычное приложение, которое показывается поверх всех остальных приложений и рабочего стола, потому что, если включить экран на изначально не заблокированном «уснувшем» телефоне, секунду-две можно наблюдать содержимое рабочего стола или запущенного приложения, прежде чем появится экран блокировки.
А я отключил это сплывающее уведомление, от него глюки постоянные и сообщения навязчиво выскакивают.
Sign up to leave a comment.
Уязвимость в Viber позволяет обходить блокировку Android-смартфона