[Public] Euer Endpoint geht nicht in der Android App

Marvin W hacksaar at larma.de
So Apr 27 23:18:57 CEST 2014 

Der Redirect ist gar nicht das Problem, sondern SNI. Android kann das erst seit 2.3 und per API erst seit 4.2 - weshalb es in der App anscheinend gar nicht aktiv ist.

Ich glaub ich werde die App nachher mal fixen :P

On 27 Apr 14, at 22:43, Ralf Jung <post at ralfj.de> wrote:

> Hi Romain,
> 
>> ... das liegt ziemlich sicher am http -> https Redirect.
>> 
>> @Ralph, muss das unbedingt geforced werden? Updaten kann man immer noch
>> ueber https,
> 
> Wenn man da keinen Redirect macht, nutzt es keiner. Ich würde persönlich
> unverschlüsselte Kommunikation am liebsten ganz ausschalten, aber das
> ist wohl erst mit HTTP2 realistisch.
> HTTP und SMTP sind die einzigen beiden Legacy-Protokolle, die der Server
> überhaupt noch unverschlüsselt spricht (aber natürlich werden
> verschlüsselte Versionen angeboten). Das ist nichts, was man fördern
> sollte - ganz im Gegensatz.
> [Hm okay ich bin gerade bei Jabber server-2-server nicht sicher, ob SSL
> erzwungen wird... muss ich mal nachschauen]
> 
>> das Konsumieren des Endpoints via http ist jedoch
>> app-freundlicher.
> 
> Kannst du nicht den Link in der DB auf
> <https://spaceapi.hacksaar.de/status.json> ändern? Dann braucht die App
> nicht einem 302-Redirect folgen, um die Datei zu finden.
> Wobei es keinen Grund gibt, solchen Redirects nicht zu folgen...
> Ich verstehe auch nicht, wieso das App-freundlicher sein soll. Ich habe
> jetzt noch nie für Android programmiert, aber von Web-Zugangs-APIs auf
> meinem Desktop erwarte ich, dass sie URI-Schemata können. Sowohl in Qt
> als auch in Python rufe ich einfach eine URL ab, und ob die jetzt mit
> http:// oder https:// beginnt und ob die noch 3mal via 302-Response
> weitergeleitet wird, ist doch egal. Ich kann mir kaum vorstellen, dass
> die Android-API so umständlich ist, dass es das nicht gibt.
> 
> tl;dr: M.E. ist das ein Bug in der Android-App - ich bin mir ziemlich
> sicher, dass wir völlig RFC-konform vorgehen. Wir haben sogar offiziell
> beglaubigte Zertifikate. Wenn es einen einfachen Work-Around gäbe, der
> nicht die Sicherheit & Privatsphäre unserer Nutzer unnötig schwächt,
> würde ich ihn anwenden, aber das trifft auf die von dir vorgeschlagene
> Lösung nicht zu.
> 
> Viele Grüße,
> Ralf (mit f)
> _______________________________________________
> Public mailing list
> Public at lists.hacksaar.de
> https://lists.hacksaar.de/listinfo/public

Mehr Informationen über die Mailingliste Public