Frage zur Sicherheit der Übertragung von Anmeldeinformationen

**coffee** · 26.11.2014, 15:55 #1

Hallo zusammen,

mich interessiert, ob es für die Übertragung, wenigstens von Benutzername und Passwort, bei Apps Vorschriften gibt, diese verschlüsselt zu übertragen. Als Beispiel mal Kalenderapps, die einige wegen der etwas einfachen Umsetzung des internen Kalenders verwenden. Wenn man im WeekView oder Chronos Kalender die Accountdaten seines Kalenders hinterlegt, damit dieser aus der App heraus manipuliert werden kann, kann man dann davon ausgehe, dass die Kommunikation zwischen App und Kalenderserver sicher vonstatten geht oder ist auch möglich, dass der Entwickler dies unsicher implementiert hat? Wer weiß da bescheid?

**Static** · 26.11.2014, 16:28 #2

Soweit mit bekannt, nutzt man dafür das Live SDK. D.h. der Entwickler implementiert den Zugriff über dieses SDK. Die EingabeMaske für die Benutzerdaten stammt somit nicht vom Entwickler sondern wird durch das SDK eingeblendet. Diese EingabeMaske ist die selbe die auch vom Windows Phone System benutzt wird. Man kann also davon ausgehen, dass Microsoft (die für das SDK weitestgehend zuständig sind) zumindest die Übertragung der AccountDaten verschlüsselt. Der Entwickler muss sich somit nicht darum kümmern.

Sicherlich kann da ein Entwickler der das Live SDK nutzt mehr dazu sagen.

**StevieBallz** · 26.11.2014, 16:51 #3

Soweit mir bekannt sind die ganzen Live APIs von Microsoft nur per HTTPS (also verschlüsselt verfügbar). Um genau zu sein geht das über die URL https://apis.live.net/v5.0/

D.h. die Daten werden per HTTPS verschlüsselt. Ohne Verschlüsselung ist schlicht und ergreifend kein Zugriff möglich. Die Seite in die man die Daten eingibt stammt direkt von Microsoft => die Daten sieht die App gar nicht, sie erhält nur nachher einen Access_Token mit dem sie zugreifen kann (und den sie halt speichert).

Wenn die Frage mehr genereller Natur ist - es kommt halt drauf an wie der Service sein API aufbaut. Erlauben die unverschlüsselte Verbindungen und direkte HTTP Authentication dann kann im ersten Fall der Entwickler unverschlüsselt Daten übertragen (sodass sie im Klartext durchs Internet gehen und abgefangen werden können) und im letzteren kennt er die Zugriffsdaten.

Mir wäre aktuell kein API bekannt dass beide diese Schwächen aufweist, ich habe aber nicht mit sooo vielen gearbeitet. Die meisten Entwickler werden wohl wenn sie vor der Wahl stehen trotzdem sauber die verschlüsselte Variante wählen. Gerade in der App Entwicklung gibt es aber auch oft Quereinsteiger, die sich der Problematik evtl. nicht bewusst sind, sodass nicht ganz ausgeschlossen ist dass jemand eine unsichere Methode wählt.

Bei WeekView und Chronos würde ich mir jetzt konkret keine Sorgen machen. Beim Zugriff auf die Microsoft Dienste kommen sie eh nicht aus - das geht nur verschlüsselt.