<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, May 22, 2013 at 12:01 AM, Bruno Oliveira <span dir="ltr">&lt;<a href="mailto:bruno@abstractj.org" target="_blank">bruno@abstractj.org</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">I&#39;m really not sure which e-mail to reply, so just in case, I&#39;ll reply all.<br>
</blockquote><div><br></div><div style>that&#39;s OK :) Thanks for looking at them</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<div class="im"><br>
Matthias Wessendorf wrote:<br>
&gt; Hi,<br>
&gt;<br>
&gt; once the app is installed on the phone (or launched in a browser),<br>
&gt; we (as discussed in the spec/mailing list) need to upload the &quot;device<br>
&gt; token&quot; (or channelID) from the actual device/channel to the Unified Push<br>
&gt; Server.<br>
&gt;<br>
&gt;<br>
&gt; My questions:<br>
&gt; Is it safe, if every &quot;Mobile Variant&quot; has a Private/Public Key ???<br>
<br>
</div>Mobile Variant == An application correct? (I&#39;m looking at<br>
<a href="https://gist.github.com/matzew/b918eb45d3f17de09b8f" target="_blank">https://gist.github.com/matzew/b918eb45d3f17de09b8f</a>)<br>
<br></blockquote><div><br></div><div style>An application (installed on a phone) is a &quot;Mobile Variant Instance&quot;. The MobileVariant it self is just the abstraction, saying there is an one iOS application (HR for iOS). The actual installations, on the devices are called &quot;Mobile Variant Instance&quot;.</div>
<div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
Why do you need a public/private key model? Encrypt data exchanged<br>
between client/server? At first glance is it really a priority? </blockquote><div><br></div><div style>I don&#39;t know - that&#39;s why I am asking here :)</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
Why not make use of WSS?<br></blockquote><div><br></div><div style>WebSocketSecure ? </div><div style><br></div><div style> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<div class="im"><br>
&gt;<br>
&gt; The UP server keeps the private one.<br>
&gt; Once we register a new mobile variant (e.g. HR for Android, HR for iPad,<br>
&gt; HR for iPhone, ...) EACH variant has ONE Private/Public key<br>
&gt;<br>
&gt;<br>
&gt; The Public Key of this combo would be &quot;coded&quot; into the actual mobiel<br>
&gt; application...<br>
&gt;<br>
&gt; On EVERY iOS app, it would use the PubKey from the iOS Variant, on EVERY<br>
&gt; JS-app, it would use the PubKey from the SimplePush Variant, etc<br>
&gt;<br>
&gt;<br>
&gt; So, that means EVERY installation (on the devices) would have that<br>
&gt; pbulci key...<br>
<br>
</div>Why?<br></blockquote><div><br></div><div style>I am not sure, I just had that idea. I am not a security expert; I ask here to validate my ideas. That&#39;s all.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<div class="im">&gt;<br>
&gt; Would that be (extremely) odd, if &quot;1 Mio Russian hacker&quot; would have that<br>
&gt; public key, used on the device, to perform some sort of &quot;auth&quot; (e.g. via<br>
&gt; HTTP BASIC (just saying.....)) against the server, in order to upload<br>
&gt; the &quot;device token&quot; ??<br>
<br>
</div>I&#39;m really confused about what do you want to achieve. I read the whole<br>
spec and I&#39;m not following.<br></blockquote><div><br></div><div style>hrm, perhaps a hangout to &quot;validate&quot; these things?</div><div style>I will, afterwards, summarize that and will send out the notes.</div>
<div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<div class="im"><br>
&gt;<br>
&gt; Note: This Private/Public key would/should be EXCLUSIVE for &quot;device<br>
&gt; registration&quot;. And really ONLY.. :-)<br>
&gt;<br>
&gt; So that this &quot;Private/Public key&quot; pair can NOT be used (==invalid) for<br>
&gt; sending messages to the installations, or creating the Push-Applications<br>
&gt; / Mobile Variant Constructs.<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; Greetings,<br>
&gt; Matthias<br>
&gt;<br>
&gt; --<br>
&gt; Matthias Wessendorf<br>
&gt;<br>
&gt; blog: <a href="http://matthiaswessendorf.wordpress.com/" target="_blank">http://matthiaswessendorf.wordpress.com/</a><br>
&gt; sessions: <a href="http://www.slideshare.net/mwessendorf" target="_blank">http://www.slideshare.net/mwessendorf</a><br>
&gt; twitter: <a href="http://twitter.com/mwessendorf" target="_blank">http://twitter.com/mwessendorf</a><br>
&gt;<br>
</div><div class=""><div class="h5">&gt; _______________________________________________<br>
&gt; aerogear-dev mailing list<br>
&gt; <a href="mailto:aerogear-dev@lists.jboss.org">aerogear-dev@lists.jboss.org</a><br>
&gt; <a href="https://lists.jboss.org/mailman/listinfo/aerogear-dev" target="_blank">https://lists.jboss.org/mailman/listinfo/aerogear-dev</a><br>
_______________________________________________<br>
aerogear-dev mailing list<br>
<a href="mailto:aerogear-dev@lists.jboss.org">aerogear-dev@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/aerogear-dev" target="_blank">https://lists.jboss.org/mailman/listinfo/aerogear-dev</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Matthias Wessendorf <br><br>blog: <a href="http://matthiaswessendorf.wordpress.com/" target="_blank">http://matthiaswessendorf.wordpress.com/</a><br>
sessions: <a href="http://www.slideshare.net/mwessendorf" target="_blank">http://www.slideshare.net/mwessendorf</a><br>twitter: <a href="http://twitter.com/mwessendorf" target="_blank">http://twitter.com/mwessendorf</a>
</div></div>