アカウント名:
パスワード:
Androidが一般的には個人用デバイスであることを考慮し、UnixではユーザーIDに該当する部分がAndroiではアプリごとに個別利用されセキュリティレベルを向上させるようになっています。
ですので、EmailアプリであればEmailアプリでひとつのユーザーIDを持ち、ファイルシステム上でのアクセス権限も(たとえば)「Emailアプリ専用」にもすることもができます。
今回指摘されているEmailアプリのデータベースファイルは(おそらく)ファイルシステム上の/data/data/com.android.email/databases/.ディレクトリ配下にある.dbファイル群と思いますが、これらのアクセス権限は今見た限りでは「660」
>Androidはセキュリティホールがあっても放置される可能性が高いから、>出来ればもっと厳しくして欲しいところだね。
意味不明。場違いなところに来る前に、3年勉強してから出直したらどうだろう?そのほうがあなたにとって有益だと思うよ。
IS01のような事でしょう。<放置される
組み込み機器共通の難点といえば難点ですが、何時までアップデートが提供され続けるか不明瞭なのは嫌らしい感じです。
>IS01のような事でしょう。<放置される
これも勘違いしている人が多いですが、メジャーアップデートの断念とセキュリティフィックスの提供停止はまったくの別問題です。
Googleの標準Android実装はそのまま端末に組み込まれることを想定していないため、可能な限り互換性を重視し、セキュリティフィックスなども「以降のバージョンで」になりがちですが実際に端末に組み込まれるAndroid実装(=キャリアや端末メーカーが組み込む実装)では、Googleからセキュリティ情報が展開されそれに対応してメーカーが自前でフィックスを織り込んでいます。
ですので、IS01であっても既知の多くの
ですので、IS01であっても既知の多くのセキュリティフィックスは修正済みですし、メジャーアップデートが行われないにしても、今後の大きなセキュリティホールはフィックスされていくことになります。Vistaが出てもXPのセキュリティパッチは提供されていくのと同じです。
そのセキュリティフィックスが提供されるという根拠は何処にあるの?という点が気になります。Windowsを例に挙げてますが、アレは明確なサポートポリシーがあり、提供される期間も明確に決まっています。対して、Mac OSやiOS、携帯電話等では、明確なサポートポリシーとサポート期間が明記されていないor不明な点があります。「出るかもしれない」ではなく「出る」でなければ、それは「出ない」と考えなければ安全側には倒せないですよね。
周りでウィルスが流行して自分の端末が感染して初めて「アップデートが提供されなくなっていた」事が解っても後の祭り過ぎます。
>そのセキュリティフィックスが提供されるという根拠は何処にあるの?という点が気になります。>「出るかもしれない」ではなく「出る」でなければ、それは「出ない」と考えなければ安全側には倒せないですよね。
キャリアには端末管理義務があるため、重大な問題であればどうしてもサポートせざるを得ません(実際にその端末利用者がいるか、サポートを受けに来るかは別問題)。スマホ以外を含めかなり古い端末でもときどきフィックスが出ますよね。あれと同じです。
ここから先は生の話として、・音声通話に直接影響するならそれこそずっと
なるほど、参考になります。少なくともある日突然通信・通話できなくなるとみたいなバグであれば提供は期待してよさそうです。セキュリティホールがどの程度に位置づけされるか解らない点が心配ではありますが。内規・内部ではしっかりフローチャートが有るのでしょうが、その具体的閾値も公開して欲しい所ですね。何せ外部からはどんな基準でとか、内部で取り込んでるパッチが何なのかは解らないですから、簡単に検証が出来ないのですよね。
パソコン向けOSであればどのパッチが適用されているか確認可能ですし、CERT/CC辺りで脆弱性と対応フィックスバージョン等が容易に確認可能です。その点で新たな脆弱性が発見された場合、自分の所有している機器に影響するのかしないかが解り易いのですが、現状の市販のスマートフォン少なくとも私の手持ちのSB003SHにはそういう物が無いので心配です。例えばzlib/libpngとかはかなりスタンダードなライブラリですが稀に穴が見つかりますよね。そういった時にそもそも含まれているのか、対策済みバージョンなのかといった情報が得られないのです。含まれるのが解っていればそもそも使わない、電源を切っておく、データ通信をOFFにする、予め個人情報を外部に退避させる等の事も可能なのですが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
rootが奪われてる前提だと危険、かな? (スコア:4, 参考になる)
Androidが一般的には個人用デバイスであることを考慮し、
UnixではユーザーIDに該当する部分が
Androiではアプリごとに個別利用されセキュリティレベルを向上させるようになっています。
ですので、EmailアプリであればEmailアプリでひとつのユーザーIDを持ち、
ファイルシステム上でのアクセス権限も(たとえば)
「Emailアプリ専用」にもすることもができます。
今回指摘されているEmailアプリのデータベースファイルは(おそらく)
ファイルシステム上の
/data/data/com.android.email/databases/.
ディレクトリ配下にある.dbファイル群と思いますが、
これらのアクセス権限は今見た限りでは「660」
Re: (スコア:0)
スカイプも誰でもアクセスできるところにパスワードが保存されていたので、それに比べればまだましだが
でも、他のアプリも問題が多そうだな。
IDをローカルに保存するようなアプリの多くは問題ありなんじゃないのかな?
近いうちに、それらのファイル盗んでリモートにアップするマルウェアが流行りそうだ。
たとえ暗号化されていても、盗んだ後なら時間かけて解読できるしね。
Re: (スコア:0)
>Androidはセキュリティホールがあっても放置される可能性が高いから、
>出来ればもっと厳しくして欲しいところだね。
意味不明。
場違いなところに来る前に、3年勉強してから出直したらどうだろう?
そのほうがあなたにとって有益だと思うよ。
Re: (スコア:1, 荒らし)
IS01のような事でしょう。<放置される
組み込み機器共通の難点といえば難点ですが、何時までアップデートが提供され続けるか不明瞭なのは嫌らしい感じです。
Re: (スコア:1, 参考になる)
>IS01のような事でしょう。<放置される
これも勘違いしている人が多いですが、
メジャーアップデートの断念とセキュリティフィックスの提供停止はまったくの別問題です。
Googleの標準Android実装はそのまま端末に組み込まれることを想定していないため、
可能な限り互換性を重視し、セキュリティフィックスなども「以降のバージョンで」になりがちですが
実際に端末に組み込まれるAndroid実装
(=キャリアや端末メーカーが組み込む実装)では、
Googleからセキュリティ情報が展開されそれに対応してメーカーが自前でフィックスを織り込んでいます。
ですので、IS01であっても既知の多くの
Re: (スコア:2, 興味深い)
そのセキュリティフィックスが提供されるという根拠は何処にあるの?という点が気になります。
Windowsを例に挙げてますが、アレは明確なサポートポリシーがあり、提供される期間も明確に決まっています。
対して、Mac OSやiOS、携帯電話等では、明確なサポートポリシーとサポート期間が明記されていないor不明な点があります。
「出るかもしれない」ではなく「出る」でなければ、それは「出ない」と考えなければ安全側には倒せないですよね。
周りでウィルスが流行して自分の端末が感染して初めて「アップデートが提供されなくなっていた」事が解っても後の祭り過ぎます。
Re: (スコア:0)
>そのセキュリティフィックスが提供されるという根拠は何処にあるの?という点が気になります。
>「出るかもしれない」ではなく「出る」でなければ、それは「出ない」と考えなければ安全側には倒せないですよね。
キャリアには端末管理義務があるため、
重大な問題であればどうしてもサポートせざるを得ません
(実際にその端末利用者がいるか、サポートを受けに来るかは別問題)。
スマホ以外を含めかなり古い端末でもときどきフィックスが出ますよね。
あれと同じです。
ここから先は生の話として、
・音声通話に直接影響するならそれこそずっと
Re:rootが奪われてる前提だと危険、かな? (スコア:1)
なるほど、参考になります。
少なくともある日突然通信・通話できなくなるとみたいなバグであれば提供は期待してよさそうです。
セキュリティホールがどの程度に位置づけされるか解らない点が心配ではありますが。
内規・内部ではしっかりフローチャートが有るのでしょうが、その具体的閾値も公開して欲しい所ですね。
何せ外部からはどんな基準でとか、内部で取り込んでるパッチが何なのかは解らないですから、簡単に検証が出来ないのですよね。
パソコン向けOSであればどのパッチが適用されているか確認可能ですし、CERT/CC辺りで脆弱性と対応フィックスバージョン等が容易に確認可能です。
その点で新たな脆弱性が発見された場合、自分の所有している機器に影響するのかしないかが解り易いのですが、現状の市販のスマートフォン少なくとも私の手持ちのSB003SHにはそういう物が無いので心配です。
例えばzlib/libpngとかはかなりスタンダードなライブラリですが稀に穴が見つかりますよね。
そういった時にそもそも含まれているのか、対策済みバージョンなのかといった情報が得られないのです。
含まれるのが解っていればそもそも使わない、電源を切っておく、データ通信をOFFにする、予め個人情報を外部に退避させる等の事も可能なのですが。