2012/02/17 デブサミ2012【17-D-5】Java/Android セキュアコーディング入門 #devsumi #devsumiD
何を知らないのが問題なのか?言語非依存のセキュアコーディング、Java言語特有のセキュアコーディング、APIレベルのセキュアコーディング #devsumiD
2012-02-17 15:48:58入力値検査、ファイル名やファイルパスにはASCII文字セットのみを使用する。File I/O の両端は同じ文字エンコーディングを使う #devsumiD
2012-02-17 15:52:27struts 脆弱性の修正例スライド、そんな入り口でパラメータをhtmlエンコードしてるけど、それでいいのかなあ…?疑問だ #devsumiD
2012-02-17 15:53:25ガタッ QT @xin9le:Component One Studio for Windows Phoneは個人ユーザーには無償提供!2012年3月14日リリース予定!素晴らしい! #devsumiD
2012-02-17 16:01:44Java/Androidでも整数オーバーフローが起こる。intの最大値は約2GBなので、SDカードの容量チェックにintを使うと問題が起きる #devsumiD
2012-02-17 16:02:26#devsumiD Androidアプリの脆弱性事例(1):使っていたサードパーティ製ライブラリで、ファイルパーミッション関連の脆弱性があった。
2012-02-17 16:03:50APIやプラットフォーム固有の問題例。サードパーティのライブラリがworld readableな権限でファイルを作成していたため、センシティブな情報が漏洩した。 #devsumiD
2012-02-17 16:04:05Twitter見ながらセミナー聴くとノート代わりになるねw #devsumiD
2012-02-17 16:05:32ふむふむ RT @y_yagi: Java/Androidでも整数オーバーフローが起こる。intの最大値は約2GBなので、SDカードの容量チェックにintを使うと問題が起きる #devsumiD
2012-02-17 16:07:03AndroidのUriクラスは入力値をチェックしない。%2fでエンコードされた/が紛れ込むことで問題となる。 #devsumiD
2012-02-17 16:07:07プログラミングに関する基礎的なセキュリティだけでなく、プラットフォームやAPIに関わるセキュリティにも注意しなければならない。 #devsumiD
2012-02-17 16:08:26Javaについては「Javaセキュアコーディング」を読むと良い。Androidセキュアコーディングも近々公開予定。 #devsumiD
2012-02-17 16:09:35#devsumiD 言語非依存とJava言語特有の注意点はJavaセキュアコーディングのドキュメントで。コード解析ツールもサポート。APIやプラットフォーム固有は個別にあたるしかない。こっちがJSSECがドキュメント作成中。
2012-02-17 16:10:05