• [^] # Re: La pétition ne mentionne pas les bonnes alternatives

    Posté par . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 3 (+0/-0).

    Le Safety Net est juste là pour dire « moi je garanti que je fais tourner un OS en version machin »

    Mais justement si ton OS est troué, il ne peux rien garantir, il va 'juste' croire que c'est bon.

    quand une banque dira « hum, c’est un peu tout pourri et t’as plus de maj de sécu, donc je te jette » et qu’une application SoftPOS PSP dira « attend, t’as 2 versions mineures de retard et tu comptes vraiment faire transiter des données PCI-DSS là-dessus ???? ».

    Ben c'est un peu le soucis si ton Safety Net valide un OS troué, tu ne peux pas garantir que l'appli exécuté est celle testé par Safety net, et le téléphone peut très bien prétendre être plus récent.

    C’est aussi pour ça que les banques cherchent les applis root ou autre : pour s’assurer que la réponse Safety Net est légitime et pas un truc forgé par Magisk ou autre.

    Ben... si l'appli en est à vérifier l'intégrité du téléphone au delà de safety net, alors quel est l'intérêt du safety net qui est fermé comparé à un système open source?

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent