AndroidのSSLなんたらでのセキュリティの守備範囲
-
youten_redo
- 10515
- 0
- 24
- 4
-
- いいね!4
言い出しっぺの法則。
にーまる。
@typex20
徳丸さんが業務拡大につきこっち側に攻めてきている件。(^_-) / “徳丸浩の日記: スマートフォンアプリケーションでSSLを使わないのは脆弱性か” http://t.co/OHNtyFC3
2012-02-06 09:47:57
にーまる。
@typex20
あらあらうふふ。ばらしちゃった。ずばりその通りなわけですが。。(^_^) RT @ockeghem: 日記書いた / “徳丸浩の日記: スマートフォンアプリケーションでSSLを使わないのは脆弱性か” http://t.co/8bVgCWqL
2012-02-06 09:52:12
にーまる。
@typex20
正確に言うとSSLを使わないのは問題外で、問題なのはSSLを適切に使っていないアプリがあまりにも多すぎるということ。自分がハックしている限りGoogle純正のアプリ以外で中間者攻撃を許さない実装になっているアプリを見たことがない。(←ちょっと言い過ぎだけど。。(^_^;))
2012-02-06 09:58:43
gaku@リスクファインダー
@tao_gaku
ああそうだなぁと思った。 // アプリケーションの場合SSL通信しているかどうか利用者には分からないRT @ockeghem @typex20 本当はまかせておきたかったのけど、「これはいかん」的な体験をしましたのでw
2012-02-06 09:59:03
OISHI Ryosuke
@roishi2j2
「告知せず平文通信している場合は、アプリケーションの脆弱性とみなすことを提案します(公開情報のみを通信している場合を除く)」とな。 RT @typex20: 徳丸さんが業務拡大につきこっち側に攻めてきている件。(^_-) http://t.co/WyRzNcHp
2012-02-06 10:00:33
にーまる。
@typex20
. @tao_gaku @ockeghem 自分は通信+アプリの実装まで確認する派なんですけど、世の中そんな奇特な人間がそういるわけじゃないしーw SSL通信しているときはガラケーみたいにピクトアイコンでピコピコ表示させるべきですよねー。(^_^)
2012-02-06 10:01:14
にーまる。
@typex20
@roishi2j2 ですねー。だいたい認証が伴うのと、利用履歴を外部から覗かれると困るようなアプリが増えてきているようなので、SSLを使わなくてもよいアプリを探すのは難しいかもですね。。
2012-02-06 10:03:19
にーまる。
@typex20
@roishi2j2 ですねー。だいたい認証が伴うのと、利用履歴を外部から覗かれると困るようなアプリが増えてきているようなので、SSLを使わなくてもよいアプリを探すのは難しいかもですね。。
2012-02-06 10:03:19
zaki50
@zaki50
@typex20 http://t.co/33Mu8YiF で、「SSLであれば通信内容を監査可能」と書かれていますが、Androidにそういう仕組があるんでしたっけ?
2012-02-06 10:14:07
ようてん
@youten_redo
@zaki50 @typex20 proxyに対応している限りサーバ証明書ではナリスマシ可能とかそういうものではないんでしたっけ
2012-02-06 10:15:53
zaki50
@zaki50
@youten_redo @typex20 いや、それってアプリがちゃんと証明書検証して無くてMITMを許す脆弱な実装ってだけだからそれはそもそもSSLしてる意味が無いような。アプリがSSLで使用するCAの証明書をユーザーが追加可能なんだっけ?
2012-02-06 10:21:53
にーまる。
@typex20
@zaki50 AndroidのフレームワークのSSL通信の機能を使って標準Webブラウザと同様にSSL通信処理を実装した不適切なアプリのことを言っているのだと思います。徳丸さんはその点は誤解されているのかと。。
2012-02-06 10:22:00
にーまる。
@typex20
@zaki50 @youten_redo ざきさんのご指摘が適切です。徳丸さんはWebブラウザでの話をされているので、アプリでの実装にはあまりお詳しくないのかもです。。(^_^;)
2012-02-06 10:22:59
ようてん
@youten_redo
@typex20 @zaki50 なるほどどど。アプリは「なんでも許す」も「特定の証明書だけ許す」も実装マターの認識でござる。
2012-02-06 10:24:23
ようてん
@youten_redo
@zaki50 @typex20 そういえばそもそもとして「証明書検証」ってどうやるもんなんでしたっけ?(メソッドあるけど何をするのが妥当なのか実は知らない)
2012-02-06 10:25:09
にーまる。
@typex20
@zaki50 Android4.0からroot CAの証明書を追加できるようになったみたいですね。iOSと違ってAndroidはhttp/httpsプロキシーを簡単にアプリに適用できないので、アプリのSSL通信処理に脆弱性がありかつ端末のrootedが必要ですね。(^_^)
2012-02-06 10:27:23
にーまる。
@typex20
@zaki50 @youten_redo サーバが送り返してくる証明書は端末が信頼出来ない環境では正常に検証できないので、Googleのアプリのように証明書の正解値をアプリ内に安全に持っておく必要があります。
2012-02-06 10:28:15
Takashi SASAKI 佐々木隆志
@TakashiSasaki
@typex20 @roishi2j2 Opera Turboやb-mobileのウェブアクセラレータのような帯域節約のためのプロキシ的サービスを使いたいので公開情報は平文にしたいところですが、スニッファーで履歴を見られるのも脆弱性と考えると常時SSL/TLSですねぇ。
2012-02-06 10:29:17