Client eines dritten für die Cloud-Synchronisation

[Xerxes18]

Hallo zusammen,

Ich frage mich wie sehr man einem Client der von einem anderem programmiert wurde vertrauen kann. Sagen wir mal ich habe owncloud auf meinem Server laufen, aber der client der von denen bereitgestellt wird ist nicht gut. Jetzt lädt sich der User einen anderen client herunter aus dem Google Play Store und gibt seine Anmelde-Daten ein. Ist das nicht irgendwie bedenklich? Ich meine der Entwickler der App hätte theoretisch den Nutzernamen, das Passwort und die Adresse worunter der Server läuft. Damit gibt man doch dann alle sensiblen Daten preis oder habe ich hier einen Denkfehler?

Viele Grüße

 

[holdes]

Du hast vollkommen recht, es hängt schlichtweg davon ab was derjenige in seine App programmiert hat. Entweder gibt sie die Daten direkt zu deinem Server durch und authentifiziert sich wie es sein soll oder der Entwickler greift die Daten nach extern zusätzlich ab. Prüfen kannst du das ganze letztendlich nur durch Code Audit oder in dem man den Netzwerkverkehr der App mitschneidet und prüft was raus geht.

 

[FranzvonAssisi]

Ja, das ist bedenklich...

Leider hat man nur bedingt Möglichkeiten das zu überprüfen. Den Netzwerkverkehr mitzuschneiden ist relativ zu erlässig, aber sobald die Verbindung verschlüsselt ist, kann da irgendwas drin stehen und du weißt nicht was.

Lg

 

[holdes]

Man sieht bei einer verschlüsselten Verbindung dann zwar den Inhalt nicht mehr direkt aber wenn man eine Firewall App auf seinem Android Telefon hat kann man damit nachvollziehen zu welchen IPs diese App kommuniziert und verbietet eben alles außer die gewünschte Ziel IP(s).