アカウント名:
パスワード:
Androidが一般的には個人用デバイスであることを考慮し、UnixではユーザーIDに該当する部分がAndroiではアプリごとに個別利用されセキュリティレベルを向上させるようになっています。
ですので、EmailアプリであればEmailアプリでひとつのユーザーIDを持ち、ファイルシステム上でのアクセス権限も(たとえば)「Emailアプリ専用」にもすることもができます。
今回指摘されているEmailアプリのデータベースファイルは(おそらく)ファイルシステム上の/data/data/com.android.email/databases/.ディレクトリ配下にある.dbファイル群と思いますが、これらのアクセス権限は今見た限りでは「660」
>Androidはセキュリティホールがあっても放置される可能性が高いから、>出来ればもっと厳しくして欲しいところだね。
意味不明。場違いなところに来る前に、3年勉強してから出直したらどうだろう?そのほうがあなたにとって有益だと思うよ。
IS01のような事でしょう。<放置される
組み込み機器共通の難点といえば難点ですが、何時までアップデートが提供され続けるか不明瞭なのは嫌らしい感じです。
>IS01のような事でしょう。<放置される
これも勘違いしている人が多いですが、メジャーアップデートの断念とセキュリティフィックスの提供停止はまったくの別問題です。
Googleの標準Android実装はそのまま端末に組み込まれることを想定していないため、可能な限り互換性を重視し、セキュリティフィックスなども「以降のバージョンで」になりがちですが実際に端末に組み込まれるAndroid実装(=キャリアや端末メーカーが組み込む実装)では、Googleからセキュリティ情報が展開されそれに対応してメーカーが自前でフィックスを織り込んでいます。
ですので、IS01であっても既知の多くの
ですので、IS01であっても既知の多くのセキュリティフィックスは修正済みですし、メジャーアップデートが行われないにしても、今後の大きなセキュリティホールはフィックスされていくことになります。Vistaが出てもXPのセキュリティパッチは提供されていくのと同じです。
そのセキュリティフィックスが提供されるという根拠は何処にあるの?という点が気になります。Windowsを例に挙げてますが、アレは明確なサポートポリシーがあり、提供される期間も明確に決まっています。対して、Mac OSやiOS、携帯電話等では、明確なサポートポリシーとサポート期間が明記されていないor不明な点があります。「出るかもしれない」ではなく「出る」でなければ、それは「出ない」と考えなければ安全側には倒せないですよね。
周りでウィルスが流行して自分の端末が感染して初めて「アップデートが提供されなくなっていた」事が解っても後の祭り過ぎます。
パッチが提供されていることと、今後の方針の話は別だろうが。IS01が放置されているというお前の放言に反論してるだけなのに、話題をすりかえるなよ。アップデートポリシーはキャリアのサポートに確認したの?そういった確認の手間を取らずに方針が不明と単純に言ってるんじゃないか?
http://k-tai.impress.co.jp/docs/news/20110427_442661.html [impress.co.jp]はい、OSアップデート無視した後にセキュリティfixしてる例。で、セキュリティfixが今後無視されるという根拠になる話はあるの?
根拠はまったくありません。私が問題としているのは、あくまで将来の提供が「未定義」or「明言されていない」状況を問題としています。未定義と定義済みの間には広くて大きな差異があります。買い替えといった製品ライフサイクルにも影響してきます。
極論すれば過去の実績はどうでも良く、可能であれば短くても良いので更新を提供する努力目標期間と、セキュリティ問題が確認されたが更新が提供が不可能となった場合その旨を明確に発表する事です。まだ比較的新しい製品ですから、現在は全ての既知のセキュリティ問題が影響しない事を検証・テストされ、有った場合でも修正が提供されていて、既存不具合が修正出来ていないといった事例が無くその為にそのような情報が無いだけなのかもしれません。ですが、ソフトウェアという物は欠陥が見えにくい故に「終わり」まで見据えた計画・運用をしなければならないと思いませんか?現状はそれが見え難い為に買うときにギャンブル的な感覚が有ります。
# 既に大分オフトピックなので次辺りから反応しないか、ACでセルフマイナスモデします・・・
>私が問題としているのは、あくまで将来の提供が「未定義」or「明言されていない」状況を問題としています。>未定義と定義済みの間には広くて大きな差異があります。>買い替えといった製品ライフサイクルにも影響してきます。
それなら、Android機、iPhone/iPad機、BlackBerry機、フィーチャーフォンのいずれも買えませんね。いずれも○○年までサポートを保証等とは公式には謳っていませんし。大変だと思います。いや、選択の幅が無くて却って楽なのかな?
買えない訳ではありませんよ。ただ重要な情報はなるべく蓄積しないようにして、慎重に取り扱うだけです。少なくとも、フィーチャーフォンと比較した場合国外で発見された攻撃もそのまま通用する可能性、ノータイムで来る可能性もあるのでAndroid機、iPhone/iPadに関しては注意したいです。BlackBerryに関してはSBMでの提供が無いのでそもそも選択肢に無いですが。
そもそもとして、結構なバグが残ってる状態で出荷されている時点でサポート期間不明というのは怖いです。SB003SHで過去にあった、現在有る物として・再起動(各社共通で、「まぁ、仕方ないよね・・・」で何故か済んでる)・無限再起動ループ(起動アニメーション終了タイミング前後でまた最初に戻る)・デフォルトブラウザが特定の認証を求められると異常終了するDoS攻撃が可能。(再現率100%、未だに未修正)・アプリケーションの管理でメモリアクセスをトチったような表示が出る(ポインタ・メモリ処理に不安、静的/動的チェックといったツールを使って品質を確保してない)・BT/WLANが腐っていて、接続/切断がうまく行かなくなり再起動が必要となる。・SV-SD950NとのA2DP接続時動作に問題あり(切断処理が異常、どちらかのプロトコルスタックが異常だと思われるがPC/SB921SH等では問題ない事から003SH側が怪しい)と、不安要素に事欠きませんから。
--誰も信じちゃいけない、裏切られるから。私を信じないで、貴方を裏切ってしまうから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
rootが奪われてる前提だと危険、かな? (スコア:4, 参考になる)
Androidが一般的には個人用デバイスであることを考慮し、
UnixではユーザーIDに該当する部分が
Androiではアプリごとに個別利用されセキュリティレベルを向上させるようになっています。
ですので、EmailアプリであればEmailアプリでひとつのユーザーIDを持ち、
ファイルシステム上でのアクセス権限も(たとえば)
「Emailアプリ専用」にもすることもができます。
今回指摘されているEmailアプリのデータベースファイルは(おそらく)
ファイルシステム上の
/data/data/com.android.email/databases/.
ディレクトリ配下にある.dbファイル群と思いますが、
これらのアクセス権限は今見た限りでは「660」
Re: (スコア:0)
スカイプも誰でもアクセスできるところにパスワードが保存されていたので、それに比べればまだましだが
でも、他のアプリも問題が多そうだな。
IDをローカルに保存するようなアプリの多くは問題ありなんじゃないのかな?
近いうちに、それらのファイル盗んでリモートにアップするマルウェアが流行りそうだ。
たとえ暗号化されていても、盗んだ後なら時間かけて解読できるしね。
Re: (スコア:0)
>Androidはセキュリティホールがあっても放置される可能性が高いから、
>出来ればもっと厳しくして欲しいところだね。
意味不明。
場違いなところに来る前に、3年勉強してから出直したらどうだろう?
そのほうがあなたにとって有益だと思うよ。
Re: (スコア:1, 荒らし)
IS01のような事でしょう。<放置される
組み込み機器共通の難点といえば難点ですが、何時までアップデートが提供され続けるか不明瞭なのは嫌らしい感じです。
Re: (スコア:1, 参考になる)
>IS01のような事でしょう。<放置される
これも勘違いしている人が多いですが、
メジャーアップデートの断念とセキュリティフィックスの提供停止はまったくの別問題です。
Googleの標準Android実装はそのまま端末に組み込まれることを想定していないため、
可能な限り互換性を重視し、セキュリティフィックスなども「以降のバージョンで」になりがちですが
実際に端末に組み込まれるAndroid実装
(=キャリアや端末メーカーが組み込む実装)では、
Googleからセキュリティ情報が展開されそれに対応してメーカーが自前でフィックスを織り込んでいます。
ですので、IS01であっても既知の多くの
Re: (スコア:2, 興味深い)
そのセキュリティフィックスが提供されるという根拠は何処にあるの?という点が気になります。
Windowsを例に挙げてますが、アレは明確なサポートポリシーがあり、提供される期間も明確に決まっています。
対して、Mac OSやiOS、携帯電話等では、明確なサポートポリシーとサポート期間が明記されていないor不明な点があります。
「出るかもしれない」ではなく「出る」でなければ、それは「出ない」と考えなければ安全側には倒せないですよね。
周りでウィルスが流行して自分の端末が感染して初めて「アップデートが提供されなくなっていた」事が解っても後の祭り過ぎます。
Re: (スコア:1, 興味深い)
パッチが提供されていることと、今後の方針の話は別だろうが。
IS01が放置されているというお前の放言に反論してるだけなのに、話題をすりかえるなよ。
アップデートポリシーはキャリアのサポートに確認したの?
そういった確認の手間を取らずに方針が不明と単純に言ってるんじゃないか?
Re: (スコア:0)
http://k-tai.impress.co.jp/docs/news/20110427_442661.html [impress.co.jp]
はい、OSアップデート無視した後にセキュリティfixしてる例。
で、セキュリティfixが今後無視されるという根拠になる話はあるの?
Re: (スコア:1)
根拠はまったくありません。
私が問題としているのは、あくまで将来の提供が「未定義」or「明言されていない」状況を問題としています。
未定義と定義済みの間には広くて大きな差異があります。
買い替えといった製品ライフサイクルにも影響してきます。
極論すれば過去の実績はどうでも良く、可能であれば短くても良いので更新を提供する努力目標期間と、セキュリティ問題が確認されたが更新が提供が不可能となった場合その旨を明確に発表する事です。
まだ比較的新しい製品ですから、現在は全ての既知のセキュリティ問題が影響しない事を検証・テストされ、有った場合でも修正が提供されていて、既存不具合が修正出来ていないといった事例が無くその為にそのような情報が無いだけなのかもしれません。
ですが、ソフトウェアという物は欠陥が見えにくい故に「終わり」まで見据えた計画・運用をしなければならないと思いませんか?
現状はそれが見え難い為に買うときにギャンブル的な感覚が有ります。
# 既に大分オフトピックなので次辺りから反応しないか、ACでセルフマイナスモデします・・・
Re: (スコア:0)
>私が問題としているのは、あくまで将来の提供が「未定義」or「明言されていない」状況を問題としています。
>未定義と定義済みの間には広くて大きな差異があります。
>買い替えといった製品ライフサイクルにも影響してきます。
それなら、Android機、iPhone/iPad機、BlackBerry機、フィーチャーフォンのいずれも買えませんね。
いずれも○○年までサポートを保証等とは公式には謳っていませんし。
大変だと思います。いや、選択の幅が無くて却って楽なのかな?
Re:rootが奪われてる前提だと危険、かな? (スコア:0)
買えない訳ではありませんよ。
ただ重要な情報はなるべく蓄積しないようにして、慎重に取り扱うだけです。
少なくとも、フィーチャーフォンと比較した場合国外で発見された攻撃もそのまま通用する可能性、
ノータイムで来る可能性もあるのでAndroid機、iPhone/iPadに関しては注意したいです。
BlackBerryに関してはSBMでの提供が無いのでそもそも選択肢に無いですが。
そもそもとして、結構なバグが残ってる状態で出荷されている時点でサポート期間不明というのは怖いです。
SB003SHで過去にあった、現在有る物として
・再起動(各社共通で、「まぁ、仕方ないよね・・・」で何故か済んでる)
・無限再起動ループ(起動アニメーション終了タイミング前後でまた最初に戻る)
・デフォルトブラウザが特定の認証を求められると異常終了するDoS攻撃が可能。(再現率100%、未だに未修正)
・アプリケーションの管理でメモリアクセスをトチったような表示が出る(ポインタ・メモリ処理に不安、静的/動的チェックといったツールを使って品質を確保してない)
・BT/WLANが腐っていて、接続/切断がうまく行かなくなり再起動が必要となる。
・SV-SD950NとのA2DP接続時動作に問題あり(切断処理が異常、どちらかのプロトコルスタックが異常だと思われるがPC/SB921SH等では問題ない事から003SH側が怪しい)
と、不安要素に事欠きませんから。
--
誰も信じちゃいけない、裏切られるから。
私を信じないで、貴方を裏切ってしまうから。