[Public] Euer Endpoint geht nicht in der Android App

[Ralf Jung]

Hi Romain,

> ... das liegt ziemlich sicher am http -> https Redirect.
> 
> @Ralph, muss das unbedingt geforced werden? Updaten kann man immer noch
> ueber https,

Wenn man da keinen Redirect macht, nutzt es keiner. Ich würde persönlich
unverschlüsselte Kommunikation am liebsten ganz ausschalten, aber das
ist wohl erst mit HTTP2 realistisch.
HTTP und SMTP sind die einzigen beiden Legacy-Protokolle, die der Server
überhaupt noch unverschlüsselt spricht (aber natürlich werden
verschlüsselte Versionen angeboten). Das ist nichts, was man fördern
sollte - ganz im Gegensatz.
[Hm okay ich bin gerade bei Jabber server-2-server nicht sicher, ob SSL
erzwungen wird... muss ich mal nachschauen]

> das Konsumieren des Endpoints via http ist jedoch
> app-freundlicher.

Kannst du nicht den Link in der DB auf
<https://spaceapi.hacksaar.de/status.json> ändern? Dann braucht die App
nicht einem 302-Redirect folgen, um die Datei zu finden.
Wobei es keinen Grund gibt, solchen Redirects nicht zu folgen...
Ich verstehe auch nicht, wieso das App-freundlicher sein soll. Ich habe
jetzt noch nie für Android programmiert, aber von Web-Zugangs-APIs auf
meinem Desktop erwarte ich, dass sie URI-Schemata können. Sowohl in Qt
als auch in Python rufe ich einfach eine URL ab, und ob die jetzt mit
http:// oder https:// beginnt und ob die noch 3mal via 302-Response
weitergeleitet wird, ist doch egal. Ich kann mir kaum vorstellen, dass
die Android-API so umständlich ist, dass es das nicht gibt.

tl;dr: M.E. ist das ein Bug in der Android-App - ich bin mir ziemlich
sicher, dass wir völlig RFC-konform vorgehen. Wir haben sogar offiziell
beglaubigte Zertifikate. Wenn es einen einfachen Work-Around gäbe, der
nicht die Sicherheit & Privatsphäre unserer Nutzer unnötig schwächt,
würde ich ihn anwenden, aber das trifft auf die von dir vorgeschlagene
Lösung nicht zu.

Viele Grüße,
Ralf (mit f)