Symbiatch - maailma on rikki

Cell ID ilman jatkuvaa rahastusta?

19.05.2006 07.30 - mobiili 

Tuli tässä mieleeni, että toimisikohan pieni viritelmä noihin oikeustasoihin. Todennäköisesti jos teen DLL:n ja asennan sen erikseen isommilla oikeuksilla, ei siltikään pienemmillä oikeuksilla oleva sovellus voi käyttää näitä isompia oikeuksia sen läpi. Mutta entäs jos teen applikaation joka käynnistyy automaattisesti aina ja sisältää isommat oikeudet? Tämän kanssa sitten juttelen joko ihan sokettien läpi tai muulla tavalla ja pyydän sitä antamaan solutietoja jne? Luulisi toimivan.

Mutta sitten tuleekin se ongelma että varmastikaan eivät "testaajat" hyväksy moista ohjelmaa, sehän olisi niin kauheaa kun eivät saisi rahaa jatkuvasta ohjelman testaamisesta kun palikka toimisi samanlaisena sitä käyttävästä softasta riippumatta. (Niin ja olisihan tuo vähän kiertelemistä, mutta en nyt heti keksinyt miten tuo rikkoisi mitään sääntöjä)

Comment

Add comment

Name:
Email:
Homepage:
Kotisivu:
Comment:

Comments

zache (anon, 19.05.2006 09.11)

Varsinkin jos tekisit palikasta yleisesti jaeltavan, jota muutkin samasta ongelmasta kärsivät voisivat käyttää. Tokihan tekisitte siitä sellaisen promomielessä :)

Hain CELLDB server kuulostaisi hyvältä eikö? Ainakin Meaningista ja Context Watcherista näyttäisi uupuvan 3rd edition versiot ja olettaisin sen johtuvan osin samoista syistä kuin hainilla, joten kysyntää varmaan olisi.

Tein tälläisen itse joskus ja ajattelin toteuttaa uudestaan Context Watcheriin myös, mutta idean saa vapaasti lainata jos keksitte käyttöä :)

Puhelimessa pyöri minimaalinen http-serveri joka vastasi localhostin kyselyihin ja palautti 302 MOVED ilmoituksen koordinaateilla/tukiasematiedoilla täydennettynä.

eli käytännössä tuo toimi niin, että www-sivulla on linkki localhostiin jossa on paluu urli esim:

http://localhost:portti/action=locate&returnurl=jokudomain.com/jokutiedosto.php

ja klikkaamalla linkkiä localhostin serveri vastaa:

302 MOVED jokudomain.com/jokutiedosto.php?action=locate&wgsLa=60.312&wgsLo=25.321

ja käyttäjälle tuo näkyi varsin automaagisena www-palvelu paikannuksena tähän tyyliin.

http://batman.jypoly.fi/~mobile/videos/webbipaikannus.avi

Symbiatch (19.05.2006 09.45)

Luonnollisesti tuo olisi kaikkien muidenkin käytettävissä. Hmm, sehän olisi freewarea, se toisi jotain uutta toiminnallisuutta jne, senhän pitäisi mennä sitten freeware-signeerauksesta läpi! ];)

Voisihan sitä harkita josko tekisi jonkin pienen applikaation joka näyttää solutiedot ja muuta pientä, tekisi siitä freewarea ja sisällyttäisi tuollaisen "serverin" ja tutkisi josko sen saisi freewaren kautta sitten signeerattua.

Toisaalta, ei se nyt ihan järkyttävän iso summa olisi "testauttaa" tuollainen itse, mutta pitäisi silti jotenkin perustella rahanmeno hyödyllä. 3rd Edition on todella pieni markkinaosuus tällä hetkellä, joten sieltä ei kauheasti käyttäjäkuntaa omille sovelluksillekaan välttämättä vielä saisi. Tulevaisuudessa kylläkin varmasti.

Ainahan voisi kokeilla keräystä. Mutta en tiedä tosiaan mitä Symbian sanoo tuollaisesta, tuossa kierretään kuitenkin suojauksia aika reippaasti. Toisaalta tuo suojaus on aika typerä.

SSS (anon, 19.05.2006 10.24)

"Toisaalta tuo suojaus on aika typerä."

Kaikki ei ehkä pidä tuota kovinkaan typeränä, eli jos kuvitellaan haittaohjelma joka on naamioitu muutoin harmittomaksi nettiyhteyttäkäyttäväksi, mutta taustalla kerää sijaintitietoa ja mahdollisesti välittää sitä eteenpäin.

Jos ajattelet tehdä yleisesti käytettävää komponenttia joka tarjoilisi solutietoa muille sovelluksille niin varmaan olisi kohtuullista olla ominaisuus joka kysyy käyttäjältä luvan. (siis muulloinkin kuin asentaessa)

Symbiatch (19.05.2006 10.45)

On se minusta aika typerä ainakin kahdesta syystä:

1) nykyisillä puhelimilla tuon tiedon voi kysyä milloin vain enkä ole nähnyt yhdenkään ihmisen tuota pitävän vaarallisena, ei edes tietoturvaihmisten
2) käyttäjältä voisi kysyä sovellusta käynnistettäessä kapojen mukaan saako sovellus tehdä jotain. "Tämä sovellus haluaisi selvittää sinun sijaintisi, saako? Ai ei, en sitten anna." sen sijaan että rahastettaisi ja annetaan tehdä tämä käyttäjän tietämättä

Eli voin siis tehdä sovelluksen, "testauttaa" sen ja sen jälkeen lähetellä käyttäjän paikkatietoa mielin määrin minne vain ilman että käyttäjä tietää siitä mitään. Kyseessä ei siis ole se, että käyttäjää haluttaisi suojella vaan ihan jokin muu. Suojeluun kävisi samanlainen systeemi kuin esimerkiksi location apissa (ainakin 7710:ssa): kysytään joka kerta saako sovellus paikantaa sinut. Se on sitä suojelemista, ei se että vain otetaan rahat pois eikä välitetä käyttäjästä.

Vai osaako joku sanoa jonkin Symbian 9.x -sarjalaisen puhelimen joka kysyisi käyttäjältä ennen kuin solun tunniste kerrotaan softalle?

zache (anon, 19.05.2006 10.50)

No minusta olisi ihan näpsäkkä sellainen ratkaisu, että käyttäjä voisi valita kysytäänkö joka kerta, sallitaanko kunnes kielletään ei sallita ja sitten joku kontrolli siitä mille lupia on annettu. Tuskin tuohon tuon kummempaa byrokratiaa tarvita, eikä varsinkaan rajoitusta sen suhteen saako koodari tehdä tuollaisen softan.

SS (anon, 19.05.2006 12.27)

Käytettävyyden kannalta kyselyt ovat huonoasia, jolloin on tarvetta oikeuksista että niitä kyselyjä ei tule jatkuvasti, jos softaan luotetaan.

Nykykoneissa on tunnettu tosiasia että niitä ei allekirjoiteta ja käyttäjät varoituksista huolimatta asentelevat jopa haittaohjelmia.

Jolloin, edes jonkin asteiset, pakko sertifikaatit auttavat, tekijä tiedetään ja se että jonkin selvityksen on joutunut tekemään ohjelmastaan.

Ymmärtääkseni sijaintitiedosta ovat ainakin joidenkin firmojen tietoturvaihmiset huolissaan, koska saattavat jopa ohjeistaa puhelimenkäyttöä niin ettei saa tulla ei tavoiteta tiedotetta kohdemaan verkosta, jotta sivulliset eivät voisi arvailla missä maassa kyseinen henkilö on. Niin on vaikea kuvitella etteikö kaupunki tai vielä tarkempi sijaintitieto olisi joissain tilanteissa ongelmallista.

Toki tuollaisissa tilanteissa pitää olla yleensäkkin tiukat pelisäännöt kaikessa asennettavassa tavarassa.

En tunne, millä perusteella palveluita on suojeltaviksi määrritelty, mutta arvailen että yleisen tarpeet sovelluskehityksen kannalta on jättänyt moni suojeltaviakin kohteita mahdolliseksi itseallekirjoituksella ja joitain ei ehkä niin tärkeitä on rajattu tarkemmin.

En tiedä, mutta vaikea kuvitella että nämä allekirjoitus systeemit mitää rahantekokoneita on valmistajalle.

Digi (anon, 19.05.2006 12.45)

Kannattaa tehdä siitä sellainen, että myös Javalla pääsee siihen kiinni, niin ei tarvitse turhaan Symbiania opetella:) Tuossa yksi projekti missä sovelletaan ehdotettua periaattetta Javan rajoitusten kiertämiseen.
http://www.midpjni.com/ntly/symbian/mobinfo.txt
http://www.midpjni.com/

Ja koska Google mapsille pitää keksiä jotain käyttöä ja koska kaikki tähän mennessä näkemäni solujen spottaus-sivustot(cellspotting, se Content Watcheria hyödyntävä(en muista nimeä) ovat olleet aikamoisia virityksiä, ja kehitys näyttää jämähtäneen, niin tässä on itsellä kehitteillä vielä yksi solujen ja plussana tukiasemapaikkojen spottauspalvelu ja siihen gps:n omistajille tietojenkeräysohjelma.

Symbiatch (19.05.2006 13.34)

Miksi turhaan tehdä sovellusta solujen etsintään kun meillä on Hain joka tekee sitä jo? ;)

Pitäisiköhän sitä tehdä Hain-veppiin valinta käyttäjille haluavatko antaa keräämänsä sijaintitiedot julkiseen käyttöön vai pitää itsellään? Tuolla softalla kun voi kerätä tosiaan solu- ja koordinaattitietoa nytkin ja puuttuu vain se datan latausosio sivustolta. Senkin voisi vihdoinkin tehdä kuntoon.

Niin ja eihän nyt Google Mapsia käytetä, meillä on sentään Hain-sivulla kartat. Kylläkään ei nyt GM:n tyylistä APIa vielä että voisi itse käyttää, mutta jos kiinnostusta olisi, voisi kai sellaisenkin tehdä joskus. Itse en pidä Googlen Suomen kartoista kauheasti, epäoleellista tietoa (saarien nimiä jne) kauhean isolla ja kuntien nimiä pienillä, puhumattakaan siitä että paljon tekstejä on ruotsiksi. Lätkäisty vaan data sisään eikä yhtään tutkittu miltä se näyttää.

Ei sillä että Hain-karttakaan täydellinen olisi, ei lähelläkään.

Symbiatch (19.05.2006 13.38)

SS: Nuo "testaukset" eivät kyllä oikein mitään sertifioi, eivätkä voikaan. Eivät he voi tietää tuhoaako sovellukseni kaiken mitä voi kännykästä puolen vuoden päästä tai aktivoituuko jokin muu ikävä ominaisuus. He vain rahastavat kun siihen on mahdollisuus.

Miksei edes asennettaessa ohjelmistoa kerrota käyttäjälle "ai joo, tää softa muuten sitten haluaa käyttää verkkoa ja paikantaa sut, haluatko asentaa oikeasti"? Kokeilemissani asennuksissa käyttäjälle ei sanota yhtään mitään mistään, kysytään vain asennetaanko. Ja joku Symbian tietää paremmin mitä saa sallia?

Vai onko devcertillä touhuaminen niin erilaista että siitä annetaan vaan "tää on testisofta"-varoitus, normaaleissa sanottaisi myös mitä se softa voi tehdä?

Mielestäni siis on menty ihan nurin päin tässä asiassa. Yrityskäyttäjillä ylläpito sanoo mitä kapoja saa ohjelma käyttää. Peruskäyttäjältä kysytään ainakin ensimmäisellä ohjelman käytöllä (tai mieluummin vaikka jokaisella käyttökerralla ensimmäisen kerran kapoja tarvittaessa) että saako. Vaikka käyttäjä on tyhmä ja sanoo joojoo kaikkeen, ainakin käyttäjältä on kysytty ja ei-tyhmät voivat sanoa ei. Nyt Symbian Test Partner päättää sinun puolestasi mitä haluat antaa sovellusten tehdä. Ei minusta kovinkaan järkevää.

SS (anon, 22.05.2006 18.05)

"Miksei edes asennettaessa ohjelmistoa kerrota käyttäjälle "ai joo, tää softa muuten sitten haluaa käyttää verkkoa ja paikantaa sut, haluatko asentaa oikeasti"?"

Asennusohjelman pitäisi tietää mitä ohjelma tekee...

Toisaalta ainakin jotkin 3ed sovellukset ovat kertoneet mitä ne tekee, tai siis tyyliin "Tämä ohjelma saattaa käyttää yhteyksi ja käyttäjän tietoja jne."

Symbiatch (22.05.2006 20.55)

Kyllä minusta käyttäjän pitäisi tietää mitä softa tekee ja kertoa mitä se saa tehdä, eikä niin että känny antaa tehdä mitä vain joku testing partner päättää antaa softan tehdä.

Se ei paljoa auta että vastuuntuntoiset kertovat mitä tehdään jos halutaan tehdä haittaohjelma.

Tekisikin mieli tehdä proof-of-concept -haittaohjelma joka menee symbian signed -"testauksesta" läpi nätisti mutta sopivan ajan tultua tuhoaa kaiken puhelimesta mitä voi. Onhan ne systeemitiedostot suojattu juu, mutta entäs kontaktit, viestit jne...

Siinähän sitten Symbian-leiri selittää miten paljon apua on "testauksesta" kun softa voikin tehdä mitä huvittaa kysymättä käyttäjältä.

Toivon tosiaan että joku kertoo minun olevan väärässä ja että jokainen Symbian 9 -sarjalainen kysyy käyttäjältä lupaa vakiona kaikkeen tällaiseen. Vielä en ole sellaista nähnyt.

SS (anon, 23.05.2006 12.09)

Ilmanmuuta on hyväksi että käyttäjätietää mitäohjelma tekee, pitkältihän se on ohjelmantekijän vastuulla, vaikea sitä on asennusohjelman tietää mitä asennettava ohjelma tekee.

En tiedä missä on väitetty että symbian signed takaisi täydellisen suojan haitallisen ohjelman tekemistä vastaan, mutta mielestäni se nostaa turvaa huomattavasti aikaisempaan käytäntöön, turvaa lisää kummasti mm. se että tekijä tunnetaan paremmin ja enenkaikkea se että asennuspaketti on aito (ellei kräkätä koko allekirjoitus systeemiä).

Jos haitallinen allekirjoitettu ohjelma löytyy niin siitä varoittaminen ja suojautuminen on huomattavasti helpompaa.

Jutut.fi  |  Omat jutut  |  Muiden jutut  |  Kategoriat  |  kirjaudu