アカウント名:
パスワード:
とりあえず、有るサイトが全てのサービスをhttpでやってる。と同じ問題ですので、間に信用できないルータ等が無ければ・・・と言うことですね。
#正確には色々方法はあるけど致命的って程でもないのかなぁ?と思ってみた。#セキュリティ的にまずいのは認識してますが、ルータ挟めるならHTTPSでも抜けるらしいですし。
・Androidアプリには通常アドレスバーのようなユーザーが確認して回避するための機構はない・ユーザーが能動的にアクセスするWebサイトと違って、通信はバックグラウンドで行われるということでヤバさが違います。PCの世界でも、Apple Software UpdateがSSLを使っていないことは脆弱性とみなされました。> ルータ挟めるならHTTPSでも抜けるらしいですし。アプリがオレオレ証明書のエラーを無視して通信を強行するような馬鹿な設計になっていない限り、そんな問題は生じません。責任をユーザーに丸投げしているWebブラウザの場合と違って、通信を続行するかどうかはアプリの開発者が決められます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
exploit disclosure (スコア:0)
Re: (スコア:2, 興味深い)
とりあえず、有るサイトが全てのサービスをhttpでやってる。
と同じ問題ですので、間に信用できないルータ等が無ければ・・・と言うことですね。
#正確には色々方法はあるけど致命的って程でもないのかなぁ?と思ってみた。
#セキュリティ的にまずいのは認識してますが、ルータ挟めるならHTTPSでも抜けるらしいですし。
Re:exploit disclosure (スコア:1, 参考になる)
・Androidアプリには通常アドレスバーのようなユーザーが確認して回避するための機構はない
・ユーザーが能動的にアクセスするWebサイトと違って、通信はバックグラウンドで行われる
ということでヤバさが違います。PCの世界でも、Apple Software UpdateがSSLを使っていないことは脆弱性とみなされました。
> ルータ挟めるならHTTPSでも抜けるらしいですし。
アプリがオレオレ証明書のエラーを無視して通信を強行するような馬鹿な設計になっていない限り、そんな問題は生じません。責任をユーザーに丸投げしているWebブラウザの場合と違って、通信を続行するかどうかはアプリの開発者が決められます。