2012/02/17 デブサミ2012【17-D-5】Java/Android セキュアコーディング入門 #devsumi #devsumiD
-
- いいね!0
こばやし 'にらたま' けんいち
@Niratama
17-D-5 Java-Androidセキュアコーディング入門 #devsumiD プレゼンのほうに17-E-5とか書いてあってちょっと焦った
2012-02-17 15:28:22
鉄馬(てつうま)
@te2uma
#devsumiD モバイル端末におけるセキュリティ脅威の要因:成熟度の異なるプラットフォームの乱立、従来と比べ利用形態が複雑化、アプリだけの対策ではダメ(Webとの連携など)
2012-02-17 15:35:57
Yuki Anzai
@yanzm
危険なデータ保存、トランスポート層の保護不足、クライアントサイドインジェクション、お粗末な認証・認可の実装、セッション管理不備、信頼できない入力に基づいたセキュリティー上の判断、サイドチャネルでの情報漏洩、暗号化メカニズムの欠陥、センシシティブな情報の漏洩 #devsumiD
2012-02-17 15:36:11
鉄馬(てつうま)
@te2uma
#devsumiD モバイルアプリのトップ10リスク(OWASPのドラフト):一番は「危険なデータ保存」(パーミッションの設定できないSDカードなど)。10個のうち9つはアプリ側。
2012-02-17 15:36:21
鉄馬(てつうま)
@te2uma
#devsumiD JVN iPediaを「Android」をキーワードに検索した結果。モバイルアプリの脆弱性が結構みつかる。
2012-02-17 15:39:05
nyamairi
@nyamairi
脆弱性で一番多いものはファイル(DB)のパーミッションに関するもの。webviewのクロスサイトスクリプティング、JSONハイジャックも多い。 #devsumiD
2012-02-17 15:41:45
鉄馬(てつうま)
@te2uma
#devsumiD JPCERTに届けられたAndroidの脆弱性。2011/7〜約30件の届け出があった。多いのは、ファイル(DB)のパーミッション系、Webview系(XSSとか)、JSONハイジャック系。新プラットフォームで過去の過ちの繰り返しも多い。
2012-02-17 15:41:53
Yuki Anzai
@yanzm
過去の過ち: 暗号鍵のハードコーディング、乱数のエントロピー不足、センシシティブな情報の外部送信、エラーメッセージにセンシシティブな情報。 #devsumiD
2012-02-17 15:43:27
nyamairi
@nyamairi
繰り返される過ち。暗号化鍵のハードコーディング。乱数のエントロピー不足。センシティブな情報の外部送信。エラーメッセージにセンシティブな情報。 #devsumiD
2012-02-17 15:43:50
鉄馬(てつうま)
@te2uma
#devsumiD 繰り返される過去の過ち:暗号化鍵のハードコーディング、乱数のエントロピー不足、センシティブな情報の外部送信、エラーメッセージにセンシティブな情報(Veracodeのレポートより)
2012-02-17 15:44:27
nyamairi
@nyamairi
繰り返される理由。プログラマが知らない。プラットフォームが成熟していない。知っているのに対処ができない(セキュアコーディングのできる環境でない)。 #devsumiD
2012-02-17 15:47:04
鉄馬(てつうま)
@te2uma
#devsumiD 同じ過ちが繰り返される原因:プログラマが「知らない」と「知っていても対応できない」があるが、セキュアコーディングは前者の対策
2012-02-17 15:48:17