Witam. Chciałem sobie niedawno założyć Mobywatela, ściągnąłem oficjalnie z Google Play, ale mam wątpliwości:
logi sieciowe zapory RethinkDNS pokazują mi połączenia z serwerami w Korei Południowej poprzez niezaszyfrowany HTTP

Dopóki nie zezwoliłem na ruch niezaszyfrowany - domyślnie blokuję - wyskakiwał błąd - brzmiało „nie można załadować treści” czy jakoś podobnie.

Było to już po ustawieniu hasła - obawiam się że już hasło mogło gdzieś sobie pofrunąć
Czy te połączenia są normalne?
Dlaczego nie są szyfrowane?

To Wielki Brat Google tak nas szpieguje:

Ale niezabezpieczony HTTP to przegięcie bo sam wszędzie wymaga szyfrowanych połączeń i zaufanych aplikacji. A może trzeba to Wujkowi zgłosić?

Gdzie to najlepiej zgłosić?

Do samego Google.

Czyli to nie jest wina Mobywatela?

Hmmm, ciężko powiedzieć, smartfon masz rootowany? Może do Mobywatela też trzeba?

Nie, miałem w planach rootować ale jeszcze nie miałem czasu. Zapora działa na zasadzie lokalnego VPN czy coś.

Możesz spróbować do niego:

https://www.youtube.com/@MateuszChrobok

ten sam mejl używa na swojej stronie:

Nie wiem czy nie będzie zainteresowana może niebezpiecznik i w mniejszym stopniu zaufana3strona:

Najmniej pewnie oni:

A przez takie coś to rzeczywiście mogą dane wyciec? Nie wiem hasło, pesel itp.

Google używa ssl.gstatic.com głównie do serwowania statycznych zasobów. Np fonty, jakieś pliki js/css itp. Większość aplikacji zbudowana jest na bazie technologii webowych więc podobnie jak strony WWW, sięga po tego typu zasoby.

Dlaczego nieszyfrowany port 80 a nie https? Test połączenia z Internetem? To dobra domena żeby testować czy jest Internet i do tego nie trzeba https. Może też być przekierowanie, tzn połączenie zostało przekierowane z http na https. Ten serwer nie da nic po http, nawet jak nawiążemy takie połączenie, to nastąpi redirect.

Dlaczego pokazuje że ssl.gstatic.com znajduje się w Korei? To nie oznacza, że dane idą do Korei.
ssl.gstatic.com jest obsługiwane przez Google Global Cache (GGC) - to rozproszona sieć tysięcy serwerów w różnych krajach. Google automatycznie kieruje żądanie do najbardziej korzystnego węzła CDN.

I teraz dwie rzeczy

1. Najbliższy niekoniecznie w tym samym kraju, często najmniej obciążony w danym momencie
2. Systemy geolokalizacji IP często pokazują lokalizację z czapy. Błędnie lub w uproszczony sposób.

Tak czy inaczej ten adres należy do Google IP WHOIS Lookup - Instantly Fetch the WHOIS Info of an IP a sieć CDN przekierowała połączenie do najkorzystniejszego w tym momencie węzła.

Zamykając temat, ten IP jest w Polsce, w Warszawie. Identyfikacja, którą zrobił Twój program jest błędna.

sprawdź tutaj IP Address Lookup | Geolocation (216.58.209.3)

Bardzo polecam po wpisaniu IP przewinąć tą stronę niżej. Widać pięknie jaki bałagan jest w bazach geolokacyjnych. Ten IP w jednej bazie widnieje jako Bułgaria. Temat spójności tych baz praktycznie niemożliwy do opanowania.

Dodatkowo host zdradza ładne nazwy domenowe z waw w nazwie

❯ host 216.58.209.3
3.209.58.216.in-addr.arpa domain name pointer waw02s18-in-f3.1e100.net.
3.209.58.216.in-addr.arpa domain name pointer sof01s12-in-f3.1e100.net.

1e100 = 10¹⁰⁰ → „1 googol” → Google

A mObywatel nie przesyła uwierzytelniania bez TLS

sprytne

edit:
No wiec dziś trochę więcej czasu i sprawdziłem dokładnie. Wszystko co napisałem powyżej się zgadza poza tym, że http://ssl.gstatic.com/sciezka/do/pliku robi przekierowanie na https://ssl.gstatic.com/sciezka/do/pliku.

Nie robi. Plik jest serwowany zarówno przez http jak i https. Dlaczego to tak Google zaprojektował? Mogę zgadywać. Wybór pozostawiono programiście. Połączenie po https jest bardziej skomplikowane, wymaga negocjacji natomiast zestawienie http jest szybsze. Dzięki czemu cały CDN jest mniej obciążony. Wiele treści statycznych nie wymaga https, ponieważ nie ma tam nic tajnego. Często rzeczy czy elementy graficzne, które po prostu widzisz w różnych usługach czy apkach Google.

np: http://ssl.gstatic.com/ui/v1/icons/common/x_8px.png

Jak to się ma w przeglądarce? Jeżeli programista zaprojektuje stronę tak że cześć będzie po http a część po https, to dostanie ostrzeżenie o mieszanej treści i elementy http się nie załadują.

Dodatkowy argument, ta domena serwuje dane publicznie dostępne, nie wymagające hasła czy jakiejś autoryzacji. Domena nie przyjmuje danych użytkownika.