アカウント名:
パスワード:
Androidが一般的には個人用デバイスであることを考慮し、UnixではユーザーIDに該当する部分がAndroiではアプリごとに個別利用されセキュリティレベルを向上させるようになっています。
ですので、EmailアプリであればEmailアプリでひとつのユーザーIDを持ち、ファイルシステム上でのアクセス権限も(たとえば)「Emailアプリ専用」にもすることもができます。
今回指摘されているEmailアプリのデータベースファイルは(おそらく)ファイルシステム上の/data/data/com.android.email/databases/.ディレクトリ配下にある.dbファイル群と思いますが、これらのアクセス権限は今見た限りでは「660」
>Androidはセキュリティホールがあっても放置される可能性が高いから、>出来ればもっと厳しくして欲しいところだね。
意味不明。場違いなところに来る前に、3年勉強してから出直したらどうだろう?そのほうがあなたにとって有益だと思うよ。
IS01のような事でしょう。<放置される
組み込み機器共通の難点といえば難点ですが、何時までアップデートが提供され続けるか不明瞭なのは嫌らしい感じです。
>IS01のような事でしょう。<放置される
これも勘違いしている人が多いですが、メジャーアップデートの断念とセキュリティフィックスの提供停止はまったくの別問題です。
Googleの標準Android実装はそのまま端末に組み込まれることを想定していないため、可能な限り互換性を重視し、セキュリティフィックスなども「以降のバージョンで」になりがちですが実際に端末に組み込まれるAndroid実装(=キャリアや端末メーカーが組み込む実装)では、Googleからセキュリティ情報が展開されそれに対応してメーカーが自前でフィックスを織り込んでいます。
ですので、IS01であっても既知の多くのセキュリティフィックスは修正済みですし、メジャーアップデートが行われないにしても、今後の大きなセキュリティホールはフィックスされていくことになります。Vistaが出てもXPのセキュリティパッチは提供されていくのと同じです。
これらは、利用者視点では「Androidバージョンは同じだけどこっちの端末ではrootが取れない」であったり、「Androidバージョンは同じだけどアップデートしたらrootが取れなくなった」などでも観測されますね。
そのセキュリティフィックスが提供されるという根拠は何処にあるの?という点が気になります。Windowsを例に挙げてますが、アレは明確なサポートポリシーがあり、提供される期間も明確に決まっています。対して、Mac OSやiOS、携帯電話等では、明確なサポートポリシーとサポート期間が明記されていないor不明な点があります。「出るかもしれない」ではなく「出る」でなければ、それは「出ない」と考えなければ安全側には倒せないですよね。
周りでウィルスが流行して自分の端末が感染して初めて「アップデートが提供されなくなっていた」事が解っても後の祭り過ぎます。
パッチが提供されていることと、今後の方針の話は別だろうが。IS01が放置されているというお前の放言に反論してるだけなのに、話題をすりかえるなよ。アップデートポリシーはキャリアのサポートに確認したの?そういった確認の手間を取らずに方針が不明と単純に言ってるんじゃないか?
>そのセキュリティフィックスが提供されるという根拠は何処にあるの?という点が気になります。>「出るかもしれない」ではなく「出る」でなければ、それは「出ない」と考えなければ安全側には倒せないですよね。
キャリアには端末管理義務があるため、重大な問題であればどうしてもサポートせざるを得ません(実際にその端末利用者がいるか、サポートを受けに来るかは別問題)。スマホ以外を含めかなり古い端末でもときどきフィックスが出ますよね。あれと同じです。
ここから先は生の話として、・音声通話に直接影響するならそれこそずっと
http://k-tai.impress.co.jp/docs/news/20110427_442661.html [impress.co.jp]はい、OSアップデート無視した後にセキュリティfixしてる例。で、セキュリティfixが今後無視されるという根拠になる話はあるの?
確かにIS01の例示は不適切でしたね。申し訳ございません。
私はSB003SHを所有してますが、こちらは2011年1月の購入前にサポート(151)に電話して確認しましたが、「セキュリティFix等のアップデート提供期間は現時点では未定であり、お答え致しかねる」との回答でした。其れゆえの発言でしたが、現在は異なるのかもしれませんね。
なるほど、参考になります。少なくともある日突然通信・通話できなくなるとみたいなバグであれば提供は期待してよさそうです。セキュリティホールがどの程度に位置づけされるか解らない点が心配ではありますが。内規・内部ではしっかりフローチャートが有るのでしょうが、その具体的閾値も公開して欲しい所ですね。何せ外部からはどんな基準でとか、内部で取り込んでるパッチが何なのかは解らないですから、簡単に検証が出来ないのですよね。
パソコン向けOSであればどのパッチが適用されているか確認可能ですし、CERT/CC辺りで脆弱性と対応フィックスバージョン等が容易に確認可能です。その点で新たな脆弱性が発見された場合、自分の所有している機器に影響するのかしないかが解り易いのですが、現状の市販のスマートフォン少なくとも私の手持ちのSB003SHにはそういう物が無いので心配です。例えばzlib/libpngとかはかなりスタンダードなライブラリですが稀に穴が見つかりますよね。そういった時にそもそも含まれているのか、対策済みバージョンなのかといった情報が得られないのです。含まれるのが解っていればそもそも使わない、電源を切っておく、データ通信をOFFにする、予め個人情報を外部に退避させる等の事も可能なのですが。
根拠はまったくありません。私が問題としているのは、あくまで将来の提供が「未定義」or「明言されていない」状況を問題としています。未定義と定義済みの間には広くて大きな差異があります。買い替えといった製品ライフサイクルにも影響してきます。
極論すれば過去の実績はどうでも良く、可能であれば短くても良いので更新を提供する努力目標期間と、セキュリティ問題が確認されたが更新が提供が不可能となった場合その旨を明確に発表する事です。まだ比較的新しい製品ですから、現在は全ての既知のセキュリティ問題が影響しない事を検証・テストされ、有った場合でも修正が提供されていて、既存不具合が修正出来ていないといった事例が無くその為にそのような情報が無いだけなのかもしれません。ですが、ソフトウェアという物は欠陥が見えにくい故に「終わり」まで見据えた計画・運用をしなければならないと思いませんか?現状はそれが見え難い為に買うときにギャンブル的な感覚が有ります。
# 既に大分オフトピックなので次辺りから反応しないか、ACでセルフマイナスモデします・・・
>私が問題としているのは、あくまで将来の提供が「未定義」or「明言されていない」状況を問題としています。>未定義と定義済みの間には広くて大きな差異があります。>買い替えといった製品ライフサイクルにも影響してきます。
それなら、Android機、iPhone/iPad機、BlackBerry機、フィーチャーフォンのいずれも買えませんね。いずれも○○年までサポートを保証等とは公式には謳っていませんし。大変だと思います。いや、選択の幅が無くて却って楽なのかな?
私のiPhone3Gは2年縛りも明けないうちからセキュリティFix見放されました。まああの会社とあの会社の組み合わせなんで別に驚きはしませんでしたが。
>この辺はIS01などでももう対処されているのでしょうか?>http://journal.mycom.co.jp/articles/2011/05/19/android/index.html>>上のようなニュースから個人的印象ではVerで置いて行かれるとある程度は脆弱性も残ると思ってました
その脆弱性については、Android OSではなくアプリとしての連絡帳アプリやカレンダーアプリを更新し、サーバー側も更新後アプリを前提とするよう設定変更することで対処されました。「(Android)マーケット」というアプリの更新が勝手に全自動適用されるのと同じくこれらのアプリの更新も勝手に反映され
買えない訳ではありませんよ。ただ重要な情報はなるべく蓄積しないようにして、慎重に取り扱うだけです。少なくとも、フィーチャーフォンと比較した場合国外で発見された攻撃もそのまま通用する可能性、ノータイムで来る可能性もあるのでAndroid機、iPhone/iPadに関しては注意したいです。BlackBerryに関してはSBMでの提供が無いのでそもそも選択肢に無いですが。
そもそもとして、結構なバグが残ってる状態で出荷されている時点でサポート期間不明というのは怖いです。SB003SHで過去にあった、現在有る物として・再起動(各社共通で、「まぁ、仕方ないよね・・・」で何故か
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
rootが奪われてる前提だと危険、かな? (スコア:4, 参考になる)
Androidが一般的には個人用デバイスであることを考慮し、
UnixではユーザーIDに該当する部分が
Androiではアプリごとに個別利用されセキュリティレベルを向上させるようになっています。
ですので、EmailアプリであればEmailアプリでひとつのユーザーIDを持ち、
ファイルシステム上でのアクセス権限も(たとえば)
「Emailアプリ専用」にもすることもができます。
今回指摘されているEmailアプリのデータベースファイルは(おそらく)
ファイルシステム上の
/data/data/com.android.email/databases/.
ディレクトリ配下にある.dbファイル群と思いますが、
これらのアクセス権限は今見た限りでは「660」
Re: (スコア:0)
スカイプも誰でもアクセスできるところにパスワードが保存されていたので、それに比べればまだましだが
でも、他のアプリも問題が多そうだな。
IDをローカルに保存するようなアプリの多くは問題ありなんじゃないのかな?
近いうちに、それらのファイル盗んでリモートにアップするマルウェアが流行りそうだ。
たとえ暗号化されていても、盗んだ後なら時間かけて解読できるしね。
Re: (スコア:0)
>Androidはセキュリティホールがあっても放置される可能性が高いから、
>出来ればもっと厳しくして欲しいところだね。
意味不明。
場違いなところに来る前に、3年勉強してから出直したらどうだろう?
そのほうがあなたにとって有益だと思うよ。
Re:rootが奪われてる前提だと危険、かな? (スコア:1, 荒らし)
IS01のような事でしょう。<放置される
組み込み機器共通の難点といえば難点ですが、何時までアップデートが提供され続けるか不明瞭なのは嫌らしい感じです。
Re:rootが奪われてる前提だと危険、かな? (スコア:1, 参考になる)
>IS01のような事でしょう。<放置される
これも勘違いしている人が多いですが、
メジャーアップデートの断念とセキュリティフィックスの提供停止はまったくの別問題です。
Googleの標準Android実装はそのまま端末に組み込まれることを想定していないため、
可能な限り互換性を重視し、セキュリティフィックスなども「以降のバージョンで」になりがちですが
実際に端末に組み込まれるAndroid実装
(=キャリアや端末メーカーが組み込む実装)では、
Googleからセキュリティ情報が展開されそれに対応してメーカーが自前でフィックスを織り込んでいます。
ですので、IS01であっても既知の多くのセキュリティフィックスは修正済みですし、
メジャーアップデートが行われないにしても、
今後の大きなセキュリティホールはフィックスされていくことになります。
Vistaが出てもXPのセキュリティパッチは提供されていくのと同じです。
これらは、利用者視点では
「Androidバージョンは同じだけどこっちの端末ではrootが取れない」であったり、
「Androidバージョンは同じだけどアップデートしたらrootが取れなくなった」などでも観測されますね。
Re:rootが奪われてる前提だと危険、かな? (スコア:2, 興味深い)
そのセキュリティフィックスが提供されるという根拠は何処にあるの?という点が気になります。
Windowsを例に挙げてますが、アレは明確なサポートポリシーがあり、提供される期間も明確に決まっています。
対して、Mac OSやiOS、携帯電話等では、明確なサポートポリシーとサポート期間が明記されていないor不明な点があります。
「出るかもしれない」ではなく「出る」でなければ、それは「出ない」と考えなければ安全側には倒せないですよね。
周りでウィルスが流行して自分の端末が感染して初めて「アップデートが提供されなくなっていた」事が解っても後の祭り過ぎます。
Re:rootが奪われてる前提だと危険、かな? (スコア:1, 興味深い)
パッチが提供されていることと、今後の方針の話は別だろうが。
IS01が放置されているというお前の放言に反論してるだけなのに、話題をすりかえるなよ。
アップデートポリシーはキャリアのサポートに確認したの?
そういった確認の手間を取らずに方針が不明と単純に言ってるんじゃないか?
Re: (スコア:0)
>そのセキュリティフィックスが提供されるという根拠は何処にあるの?という点が気になります。
>「出るかもしれない」ではなく「出る」でなければ、それは「出ない」と考えなければ安全側には倒せないですよね。
キャリアには端末管理義務があるため、
重大な問題であればどうしてもサポートせざるを得ません
(実際にその端末利用者がいるか、サポートを受けに来るかは別問題)。
スマホ以外を含めかなり古い端末でもときどきフィックスが出ますよね。
あれと同じです。
ここから先は生の話として、
・音声通話に直接影響するならそれこそずっと
Re: (スコア:0)
http://k-tai.impress.co.jp/docs/news/20110427_442661.html [impress.co.jp]
はい、OSアップデート無視した後にセキュリティfixしてる例。
で、セキュリティfixが今後無視されるという根拠になる話はあるの?
Re:rootが奪われてる前提だと危険、かな? (スコア:2, 興味深い)
確かにIS01の例示は不適切でしたね。申し訳ございません。
私はSB003SHを所有してますが、こちらは2011年1月の購入前にサポート(151)に電話して確認しましたが、
「セキュリティFix等のアップデート提供期間は現時点では未定であり、お答え致しかねる」との回答でした。
其れゆえの発言でしたが、現在は異なるのかもしれませんね。
Re:rootが奪われてる前提だと危険、かな? (スコア:1)
なるほど、参考になります。
少なくともある日突然通信・通話できなくなるとみたいなバグであれば提供は期待してよさそうです。
セキュリティホールがどの程度に位置づけされるか解らない点が心配ではありますが。
内規・内部ではしっかりフローチャートが有るのでしょうが、その具体的閾値も公開して欲しい所ですね。
何せ外部からはどんな基準でとか、内部で取り込んでるパッチが何なのかは解らないですから、簡単に検証が出来ないのですよね。
パソコン向けOSであればどのパッチが適用されているか確認可能ですし、CERT/CC辺りで脆弱性と対応フィックスバージョン等が容易に確認可能です。
その点で新たな脆弱性が発見された場合、自分の所有している機器に影響するのかしないかが解り易いのですが、現状の市販のスマートフォン少なくとも私の手持ちのSB003SHにはそういう物が無いので心配です。
例えばzlib/libpngとかはかなりスタンダードなライブラリですが稀に穴が見つかりますよね。
そういった時にそもそも含まれているのか、対策済みバージョンなのかといった情報が得られないのです。
含まれるのが解っていればそもそも使わない、電源を切っておく、データ通信をOFFにする、予め個人情報を外部に退避させる等の事も可能なのですが。
Re: (スコア:0)
http://journal.mycom.co.jp/articles/2011/05/19/android/index.html
上のようなニュースから個人的印象ではVerで置いて行かれるとある程度は脆弱性も残ると思ってました
Re:rootが奪われてる前提だと危険、かな? (スコア:1)
根拠はまったくありません。
私が問題としているのは、あくまで将来の提供が「未定義」or「明言されていない」状況を問題としています。
未定義と定義済みの間には広くて大きな差異があります。
買い替えといった製品ライフサイクルにも影響してきます。
極論すれば過去の実績はどうでも良く、可能であれば短くても良いので更新を提供する努力目標期間と、セキュリティ問題が確認されたが更新が提供が不可能となった場合その旨を明確に発表する事です。
まだ比較的新しい製品ですから、現在は全ての既知のセキュリティ問題が影響しない事を検証・テストされ、有った場合でも修正が提供されていて、既存不具合が修正出来ていないといった事例が無くその為にそのような情報が無いだけなのかもしれません。
ですが、ソフトウェアという物は欠陥が見えにくい故に「終わり」まで見据えた計画・運用をしなければならないと思いませんか?
現状はそれが見え難い為に買うときにギャンブル的な感覚が有ります。
# 既に大分オフトピックなので次辺りから反応しないか、ACでセルフマイナスモデします・・・
Re: (スコア:0)
>私が問題としているのは、あくまで将来の提供が「未定義」or「明言されていない」状況を問題としています。
>未定義と定義済みの間には広くて大きな差異があります。
>買い替えといった製品ライフサイクルにも影響してきます。
それなら、Android機、iPhone/iPad機、BlackBerry機、フィーチャーフォンのいずれも買えませんね。
いずれも○○年までサポートを保証等とは公式には謳っていませんし。
大変だと思います。いや、選択の幅が無くて却って楽なのかな?
Re: (スコア:0)
私のiPhone3Gは2年縛りも明けないうちからセキュリティFix見放されました。
まああの会社とあの会社の組み合わせなんで別に驚きはしませんでしたが。
Re: (スコア:0)
>この辺はIS01などでももう対処されているのでしょうか?
>http://journal.mycom.co.jp/articles/2011/05/19/android/index.html
>
>上のようなニュースから個人的印象ではVerで置いて行かれるとある程度は脆弱性も残ると思ってました
その脆弱性については、Android OSではなく
アプリとしての連絡帳アプリやカレンダーアプリを更新し、
サーバー側も更新後アプリを前提とするよう設定変更することで対処されました。
「(Android)マーケット」というアプリの更新が勝手に全自動適用されるのと同じく
これらのアプリの更新も勝手に反映され
Re: (スコア:0)
買えない訳ではありませんよ。
ただ重要な情報はなるべく蓄積しないようにして、慎重に取り扱うだけです。
少なくとも、フィーチャーフォンと比較した場合国外で発見された攻撃もそのまま通用する可能性、
ノータイムで来る可能性もあるのでAndroid機、iPhone/iPadに関しては注意したいです。
BlackBerryに関してはSBMでの提供が無いのでそもそも選択肢に無いですが。
そもそもとして、結構なバグが残ってる状態で出荷されている時点でサポート期間不明というのは怖いです。
SB003SHで過去にあった、現在有る物として
・再起動(各社共通で、「まぁ、仕方ないよね・・・」で何故か