アカウント名:
パスワード:
Androidが一般的には個人用デバイスであることを考慮し、UnixではユーザーIDに該当する部分がAndroiではアプリごとに個別利用されセキュリティレベルを向上させるようになっています。
ですので、EmailアプリであればEmailアプリでひとつのユーザーIDを持ち、ファイルシステム上でのアクセス権限も(たとえば)「Emailアプリ専用」にもすることもができます。
今回指摘されているEmailアプリのデータベースファイルは(おそらく)ファイルシステム上の/data/data/com.android.email/databases/.ディレクトリ配下にある.dbファイル群と思いますが、これらのアクセス権限は今見た限りでは「660」
>Androidはセキュリティホールがあっても放置される可能性が高いから、>出来ればもっと厳しくして欲しいところだね。
意味不明。場違いなところに来る前に、3年勉強してから出直したらどうだろう?そのほうがあなたにとって有益だと思うよ。
IS01のような事でしょう。<放置される
組み込み機器共通の難点といえば難点ですが、何時までアップデートが提供され続けるか不明瞭なのは嫌らしい感じです。
>IS01のような事でしょう。<放置される
これも勘違いしている人が多いですが、メジャーアップデートの断念とセキュリティフィックスの提供停止はまったくの別問題です。
Googleの標準Android実装はそのまま端末に組み込まれることを想定していないため、可能な限り互換性を重視し、セキュリティフィックスなども「以降のバージョンで」になりがちですが実際に端末に組み込まれるAndroid実装(=キャリアや端末メーカーが組み込む実装)では、Googleからセキュリティ情報が展開されそれに対応してメーカーが自前でフィックスを織り込んでいます。
ですので、IS01であっても既知の多くの
ですので、IS01であっても既知の多くのセキュリティフィックスは修正済みですし、メジャーアップデートが行われないにしても、今後の大きなセキュリティホールはフィックスされていくことになります。Vistaが出てもXPのセキュリティパッチは提供されていくのと同じです。
そのセキュリティフィックスが提供されるという根拠は何処にあるの?という点が気になります。Windowsを例に挙げてますが、アレは明確なサポートポリシーがあり、提供される期間も明確に決まっています。対して、Mac OSやiOS、携帯電話等では、明確なサポートポリシーとサポート期間が明記されていないor不明な点があります。「出るかもしれない」ではなく「出る」でなければ、それは「出ない」と考えなければ安全側には倒せないですよね。
周りでウィルスが流行して自分の端末が感染して初めて「アップデートが提供されなくなっていた」事が解っても後の祭り過ぎます。
パッチが提供されていることと、今後の方針の話は別だろうが。IS01が放置されているというお前の放言に反論してるだけなのに、話題をすりかえるなよ。アップデートポリシーはキャリアのサポートに確認したの?そういった確認の手間を取らずに方針が不明と単純に言ってるんじゃないか?
http://k-tai.impress.co.jp/docs/news/20110427_442661.html [impress.co.jp]はい、OSアップデート無視した後にセキュリティfixしてる例。で、セキュリティfixが今後無視されるという根拠になる話はあるの?
>この辺はIS01などでももう対処されているのでしょうか?>http://journal.mycom.co.jp/articles/2011/05/19/android/index.html>>上のようなニュースから個人的印象ではVerで置いて行かれるとある程度は脆弱性も残ると思ってました
その脆弱性については、Android OSではなくアプリとしての連絡帳アプリやカレンダーアプリを更新し、サーバー側も更新後アプリを前提とするよう設定変更することで対処されました。「(Android)マーケット」というアプリの更新が勝手に全自動適用されるのと同じくこれらのアプリの更新も勝手に反映されています。
で、実際にこれが利用者に観測されるタイミングですが5月末以降にカレンダーなどの同期がなんかうまく行かなくなった、一度アプリの保持キャッシュを削除してから再同期すればうまく同期できるようになる、などで表面化しているケースが散見されます。もし興味があれば、「ジョルテ」などのAndroidマーケット上での作者アプリ紹介を見るとよいでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
rootが奪われてる前提だと危険、かな? (スコア:4, 参考になる)
Androidが一般的には個人用デバイスであることを考慮し、
UnixではユーザーIDに該当する部分が
Androiではアプリごとに個別利用されセキュリティレベルを向上させるようになっています。
ですので、EmailアプリであればEmailアプリでひとつのユーザーIDを持ち、
ファイルシステム上でのアクセス権限も(たとえば)
「Emailアプリ専用」にもすることもができます。
今回指摘されているEmailアプリのデータベースファイルは(おそらく)
ファイルシステム上の
/data/data/com.android.email/databases/.
ディレクトリ配下にある.dbファイル群と思いますが、
これらのアクセス権限は今見た限りでは「660」
Re: (スコア:0)
スカイプも誰でもアクセスできるところにパスワードが保存されていたので、それに比べればまだましだが
でも、他のアプリも問題が多そうだな。
IDをローカルに保存するようなアプリの多くは問題ありなんじゃないのかな?
近いうちに、それらのファイル盗んでリモートにアップするマルウェアが流行りそうだ。
たとえ暗号化されていても、盗んだ後なら時間かけて解読できるしね。
Re: (スコア:0)
>Androidはセキュリティホールがあっても放置される可能性が高いから、
>出来ればもっと厳しくして欲しいところだね。
意味不明。
場違いなところに来る前に、3年勉強してから出直したらどうだろう?
そのほうがあなたにとって有益だと思うよ。
Re: (スコア:1, 荒らし)
IS01のような事でしょう。<放置される
組み込み機器共通の難点といえば難点ですが、何時までアップデートが提供され続けるか不明瞭なのは嫌らしい感じです。
Re: (スコア:1, 参考になる)
>IS01のような事でしょう。<放置される
これも勘違いしている人が多いですが、
メジャーアップデートの断念とセキュリティフィックスの提供停止はまったくの別問題です。
Googleの標準Android実装はそのまま端末に組み込まれることを想定していないため、
可能な限り互換性を重視し、セキュリティフィックスなども「以降のバージョンで」になりがちですが
実際に端末に組み込まれるAndroid実装
(=キャリアや端末メーカーが組み込む実装)では、
Googleからセキュリティ情報が展開されそれに対応してメーカーが自前でフィックスを織り込んでいます。
ですので、IS01であっても既知の多くの
Re: (スコア:2, 興味深い)
そのセキュリティフィックスが提供されるという根拠は何処にあるの?という点が気になります。
Windowsを例に挙げてますが、アレは明確なサポートポリシーがあり、提供される期間も明確に決まっています。
対して、Mac OSやiOS、携帯電話等では、明確なサポートポリシーとサポート期間が明記されていないor不明な点があります。
「出るかもしれない」ではなく「出る」でなければ、それは「出ない」と考えなければ安全側には倒せないですよね。
周りでウィルスが流行して自分の端末が感染して初めて「アップデートが提供されなくなっていた」事が解っても後の祭り過ぎます。
Re: (スコア:1, 興味深い)
パッチが提供されていることと、今後の方針の話は別だろうが。
IS01が放置されているというお前の放言に反論してるだけなのに、話題をすりかえるなよ。
アップデートポリシーはキャリアのサポートに確認したの?
そういった確認の手間を取らずに方針が不明と単純に言ってるんじゃないか?
Re: (スコア:0)
http://k-tai.impress.co.jp/docs/news/20110427_442661.html [impress.co.jp]
はい、OSアップデート無視した後にセキュリティfixしてる例。
で、セキュリティfixが今後無視されるという根拠になる話はあるの?
Re: (スコア:0)
http://journal.mycom.co.jp/articles/2011/05/19/android/index.html
上のようなニュースから個人的印象ではVerで置いて行かれるとある程度は脆弱性も残ると思ってました
Re:rootが奪われてる前提だと危険、かな? (スコア:0)
>この辺はIS01などでももう対処されているのでしょうか?
>http://journal.mycom.co.jp/articles/2011/05/19/android/index.html
>
>上のようなニュースから個人的印象ではVerで置いて行かれるとある程度は脆弱性も残ると思ってました
その脆弱性については、Android OSではなく
アプリとしての連絡帳アプリやカレンダーアプリを更新し、
サーバー側も更新後アプリを前提とするよう設定変更することで対処されました。
「(Android)マーケット」というアプリの更新が勝手に全自動適用されるのと同じく
これらのアプリの更新も勝手に反映されています。
で、実際にこれが利用者に観測されるタイミングですが
5月末以降にカレンダーなどの同期がなんかうまく行かなくなった、
一度アプリの保持キャッシュを削除してから再同期すればうまく同期できるようになる、
などで表面化しているケースが散見されます。
もし興味があれば、「ジョルテ」などのAndroidマーケット上での作者アプリ紹介を見るとよいでしょう。