Con il caricamento su AppStores - quale problema risolvono tutti i certificati sopra Autorizzazione in due passaggi?

Question

Con il caricamento su AppStores - quale problema risolvono tutti i certificati sopra Autorizzazione in due passaggi?

#1 da (1 voti)

0

Quindi se chiedi in giro su Internet vedi un sacco di persone frustrate dall'intera giungla di firmare e certificare quando provano a caricare app nell'App Store. Ovviamente su questo canale per molte persone è probabilmente abbastanza semplice, ma voi ragazzi siete una super minoranza.

L'essenziale non dovrebbe essere risolto con una semplice autorizzazione in due fasi?

vale a dire. per pubblicare una nuova versione vado su Itunesconnect, inserisco le mie credenziali e confermo che sono in possesso di un dispositivo fisico, come il mio telefono, e quindi posso pubblicare.

Perché l'autorizzazione in due passaggi è utilizzata da miliardi (relativamente) in modo sicuro per la propria attività bancaria, ma è necessario che la giungla del certificato rilasci un'app?

Quale problema essenziale è stato risolto e non può essere risolto dimostrando la password e essendo in possesso di un dispositivo fisico?

certificates multi-factor

posta Dirk Boer 28.03.2018 - 13:23

fonte

1 risposta

Leggi altre domande sui tag certificates multi-factor

Come impedire a un certificato di radice attendibile specifico di reinstallarlo dopo l'eliminazione Quali implementazioni di Biometrics Encryption esistono ora? [chiuso]

score 1 · Answer 1

Le app di firma non hanno nulla a che vedere con la prova di chi sei al momento del caricamento. Come fai notare, lo username / password e gli schemi di autenticazione a più fattori lo fanno.

Le firme delle applicazioni vengono controllate quando le app vengono utilizzate sui client (ad es. telefoni e computer). Verificando la firma, il cliente può confermare chi ha scritto l'app (tecnicamente chi l'ha firmata, ma è una stima ragionevole di chi lo ha scritto) e che l'app non è stata modificata da quando è stata firmata. Cioè, fornisce l'autenticità e l'integrità, rispettivamente, dell'app.

Simili strategie di firma del codice sono utilizzate per le estensioni del browser (ad esempio: Mozilla ) e altre app (ad esempio: Macro di Office ). Microsoft ha un buon articolo che ha una descrizione più approfondita della firma del codice se vuoi saperne di più.

E, ahimè, la firma del codice è sempre una seccatura per l'utente finale, specialmente per l'utente finale meno tecnico. Considero la firma del codice una soluzione eccessivamente complessa e solo parzialmente funzionale (tutti fanno sempre clic su "OK" quando ottengono tali popup) per stabilire la fiducia nel codice. Ma, a parte ottenere codice fisicamente dall'autore, la firma del codice è la migliore che abbiamo.