Google amélioré la sécurité de bout-en-bout pour les applications Android qui se connectent à des extensions Chrome
Yahoo Nouvelles
Google a ajouté une nouvelle fonctionnalité de sécurité pour les développeurs qui construisent des extensions pour le navigateur Chrome. TLS / SSL est désormais pris en charge dans l'API de chrome.sockets.
Ce sont d'excellentes nouvelles pour les utilisateurs de Chrome qui aiment installer des extensions de la productivité et de la communication sur leur navigateur, car il permet le "S" dans le HTTPS que vous connaissez peut-être à partir de votre navigation sur le Web standard. Nous comprenons que, jusqu'à présent, les extensions ont dû compter sur websockets ou leurs propres techniques de chiffrement pour gérer les transferts de données sécurisés.
Pour les utilisateurs d'Android, ce nouvel outil rend plus facile pour les développeurs de sécuriser complètement votre connexion et vos données, tout le chemin depuis votre appareil Android pour le navigateur sur votre ordinateur.Pour expliquer comment cela fonctionne, nous allons jeter un coup d'œil à l'application et service populaire Pushbullet. Pushbullet a la capacité de pousser les notifications, les données et les plus avant et en arrière entre votre appareil Android et PC. Disclaimer complet, je ne sais pas ce qui utilise des protocoles ou des techniques réelles Pushbullet, nous sommes juste en les utilisant comme un exemple de l'application de la façon dont le processus fonctionne.
De manière générale, il ya deux opérations ici. Tout d'abord, votre appareil Android connecte de manière sécurisée avec les serveurs utilisant le protocole HTTPS Pushbullet travers le DefaultHTTPClient dans Android. La deuxième opération est réalisée entre les serveurs Pushbullet plus à votre PC.
Si Pushbullet avait employé l'API à chrome.sockets construire leur extension Chrome, la dernière partie de la liaison ci-dessus ne serait pas assurée. Vos informations et données seraient transférer sur le fil dans le même texte, en utilisant la même connexion HTTP, que les sites Web, y compris celui-ci, fournir les mots et les images que vous lisez en ce moment.
Pushbullet co-fondateur André Von Houck a eu la gentillesse de me confirmer qu'ils utilisent les websockets vieille école normalisées pour établir une connexion sécurisée HTTPS entre l'extension Chrome sur votre PC à leurs serveurs. Donc, pour Pushbullet, vous êtes assuré et bon d'aller.
Ce concept est le même pour toute application qui se connecte à une extension Chrome, y compris vos services SMS préférés MightyText et DeskSMS. Maintenant, avant de vous obtenez tous préoccupés par ces vulnérabilités, vérifiez dans votre application et le service choisi de voir ce que la sécurité qu'ils offrent. Il ya une bonne chance que votre développeur d'application utilise déjà websockets standard ou des mesures de sécurité alternatives à vous et à vos données garder en sécurité.
Pour le développeur dans votre vie, il ya des avantages et des inconvénients aux deux websockets et L'ajout de Google de TLS / SSL dans l'API chrome.sockets pour Extensions Chrome. Pour le reste d'entre nous, nous allons juste être heureux que les développeurs ont une nouvelle option pour sécuriser nos données tout le chemin de nos appareils Android à notre PC de bureau.
Quel est le niveau de sécurité que vous utilisez pour votre expérience Android faites --vous garder les choses simples avec la sécurité de mot de passe comme LastPass, ou allez-vous tous avec l'installation d'une ROM personnalisée comme Paranoid Android?