Det er flott at man kan benytte klikk-og-hent kjøp i disse dager. Men det som absolutt ikke er greit er at ENESTE betalingsmåte er #Vipps. Det bryter nok med noen finansavtaler. Jeg skjønner at kontanter ikke er bra, men Vipps er ubrukelig for mange. 1/
I tillegg så virker det som at Vipps baserer seg på "klient sikkerhet", at sikkerheten rundt Vipps avhenger av mobiltelefonen din. 2/
Problemet her er: Min telefon får ikke lengre oppdateringer av produsenten. Vipps ville nok fungert fint på den. Jeg bruker istedet LineageOS, som har INGEN integrasjon mot Google's infrastruktur men som er fullt ut oppdatert med siste sikkerhetsfikser. Der funger IKKE Vipps. 3/
Så et mer oppdatert programvaremiljø hvor Vipps kan kjøre er altså IKKE sikkert nok for dem. For jeg har "rooted" telefonen (noe jeg IKKE har gjort, bare "unlocked" boot loaderen for LineageOS installasjonen) 4/
Paradokset blir jo at jeg kan PÅ DEN SAMME TELEFONEN kan på en hvilken som helst nettbutikk fint betale med Visa eller MasterCard ... HVORFOR er det ansett som trygt nok? 5/
Enhver utvikler som jobber med sikkerhetsrelaterte produkter BURDE VITE at å basere et produkt på sikkerhetsnivået på en klient er non-sense. 6/
Det finnes tilogmed LineageOS utvidelser hvor man MÅ roote telefonen og installere programvare som lurer og OMGÅR slike tullete restriksjoner - på bekostning av nettopp sikkerheten på telefonen, men da er HELE telefonen mer sårbar - men Vipps vil funke 7/
Derfor kan man IKKE stole på @Vipps_no sin sikkerhet. Det vil ALLTID være måter å omgå sikkerhetssperrer på enhver enhet som ikke er under full kontroll av tjenesteleverandøren. 8/
Når Vipps ser seg nødt til å kontrollere miljøet appen kjører på, så forsøker de å fikse et problem de aldri kan få kontroll på. Samtidig finnes det masse apper med høyt sikkerhetsnivå som fungerer utmerket på LineageOS 9/
Bare se til @ProtonMail, @TutanotaTeam eller @signalapp som noen få eksempler. Her er dataene som lagres lokalt ansett for å være kritiske, men de greier å beskytte data UTEN å klage på LineageOS eller feilaktig hevde telefonen er rooted. 10/
Min utfordring til @Vipps_no: Gå helt bort fra sikkerhet basert på brukerenes enheter - de vil ALLTID være upålitelige. Sørg for at sikkerheten er utelukkende håndtert i miljøene dere KAN kontrollere, som server/service delen av Vipps løsningen. 11/
Inntil det er fikset, så holder jeg meg langt unna Vipps.
12/eof
12/eof
@threadreaderapp unroll
• • •
Missing some Tweet in this thread? You can try to
force a refresh
