Hallo zusammen,

es gab in den letzten Tagen rund um Delphi gute und schlechte Nachrichten zugleich und eine Frage, die sich für meine eigene Entwicklung daraus ergibt:

Vielleicht habt ihr ja auch gelesen, dass es jetzt eine Corona-App gibt, mit der die Übermittlung der Testergebnisse deutlich beschleunigt werden soll. Bei Facebook bin ich gerade darüber gestolpert, dass diese App offenbar mit Delphi entwickelt wurde - cool. Post von Idera dazu, Post in der Facebook-Gruppe "Delphi developer" dazu.

Leider stellte sich dann raus, dass diese App unsicher ist, weil sie zwar (natürlich) verschlüsselt über HTTPS mit ihrem Server spricht, dabei aber das Zertifikat nicht prüft und somit problemlos ein Men-In-The-Middle-Angriff möglich ist. Das gab es ausführlich bei Heise.

Daraus ergibt sich für mich folgende Frage: ich nutze auch mehr und mehr Web-Services, eigene oder von Partnerunternehmen, per HTTPS - mal SOAP, mal REST. Ich habe mir zugegebenermaßen bisher auch über Zertifikate keine Gedanken gemacht, weil ich davon ausgehe, dass die SOAP- und REST-Bibliotheken von Delphi und die Net-Bibliotheken, die diese wiederum nutzen, sich schon selbst um die Zertifikate kümmern. Das heißt, ich ging eigentlich davon aus, dass ich eine Exception geworfen bekomme, wenn ich per https auf eine Ressource im Netz zugreifen will und das Zertifikat passt nicht.

Mache ich da gerade den gleichen Fehler wie die Leute von BS Software? Oder haben die (mutmaßlich!) etwas anderes genutzt als die Standard-Bibliotheken von Delphi und müssten daher ihre Zertifikate selber prüfen? Vielleicht liest hier ja jemand mit und kann uns sogar an der Erkenntnis bzw. der potentiellen Falle teilhaben lassen.