Giustificazione dietro permesso di generare traffico in chiaro

[orazioedoardo]

Descrivi il problema
Il manifest contiene la dicitura android:usesCleartextTraffic="true", il che consente all'app di generare traffico in chiaro che quindi può essere facilmente intercettato, a meno che non si applichi una cifratura addizionale al di sopra. Naturalmente ciò non implica che IO effettivamente generi traffico in chiaro, ma solo che ne ha la facoltà.

io-app/android/app/src/main/AndroidManifest.xml

Line 50 in a5a6d55

<application android:name=".MainApplication" android:label="@string/app_name" android:icon="@mipmap/ic_launcher" android:usesCleartextTraffic="true" android:roundIcon="@mipmap/ic_launcher_round" android:allowBackup="false" android:requestLegacyExternalStorage="true" android:theme="@style/AppTheme" android:largeHeap="true">

Noto che è stato aggiunto qui #2119 come bug fix, dunque ci si aspetta di caricare una pagina http:// nella webview? Il flag è globale.

[orazioedoardo]

Il comunicato di PagoPA purtroppo non chiarisce questo punto, tuttavia a giudicare dalla configurazione equivalente di iOS, pare si tratti di localhost, ma allora per evitare leaks accidentali andrebbe consentito solo questo tramite NetworkSecurityPolicy https://developer.android.com/privacy-and-security/security-config#CleartextTrafficPermitted

[github-actions]

This issue is stale because it has been open for 60 days with no activity. If the issue is still present, please leave a comment within 14 days to keep it open, otherwise it will be closed automatically.

[Maxsi90]

ping

[orazioedoardo]

È ancora valido, non capisco perché GitHub consideri la issue stantia.

[d1nuc0m]

@orazioedoardo Non è GitHub, ma un workflow custom, vedi .github/workflows/stale.yml, in ogni caso ormai dubito i dev diano peso alle issues