2012/02/17 デブサミ2012【17-D-5】Java/Android セキュアコーディング入門 #devsumi #devsumiD
-
- いいね!0
Yuki Anzai
@yanzm
何を知らないのが問題なのか?言語非依存のセキュアコーディング、Java言語特有のセキュアコーディング、APIレベルのセキュアコーディング #devsumiD
2012-02-17 15:48:58
Yuki Anzai
@yanzm
入力値検査、ファイル名やファイルパスにはASCII文字セットのみを使用する。File I/O の両端は同じ文字エンコーディングを使う #devsumiD
2012-02-17 15:52:27
KOGAWA Masaki
@kogawam
struts 脆弱性の修正例スライド、そんな入り口でパラメータをhtmlエンコードしてるけど、それでいいのかなあ…?疑問だ #devsumiD
2012-02-17 15:53:25
DAIKOKU@💉4回済み
@daikoku1976
ガタッ QT @xin9le:Component One Studio for Windows Phoneは個人ユーザーには無償提供!2012年3月14日リリース予定!素晴らしい! #devsumiD
2012-02-17 16:01:44
y-yagi
@y_yagi
Java/Androidでも整数オーバーフローが起こる。intの最大値は約2GBなので、SDカードの容量チェックにintを使うと問題が起きる #devsumiD
2012-02-17 16:02:26
鉄馬(てつうま)
@te2uma
#devsumiD Androidアプリの脆弱性事例(1):使っていたサードパーティ製ライブラリで、ファイルパーミッション関連の脆弱性があった。
2012-02-17 16:03:50
nyamairi
@nyamairi
APIやプラットフォーム固有の問題例。サードパーティのライブラリがworld readableな権限でファイルを作成していたため、センシティブな情報が漏洩した。 #devsumiD
2012-02-17 16:04:05
荒木大地 / Shenzhen Fan (深セン ファン) 管理人
@daichiaraki
Twitter見ながらセミナー聴くとノート代わりになるねw #devsumiD
2012-02-17 16:05:32
Makoto IGUCHI (いぐっち)
@igucci
ふむふむ RT @y_yagi: Java/Androidでも整数オーバーフローが起こる。intの最大値は約2GBなので、SDカードの容量チェックにintを使うと問題が起きる #devsumiD
2012-02-17 16:07:03
nyamairi
@nyamairi
AndroidのUriクラスは入力値をチェックしない。%2fでエンコードされた/が紛れ込むことで問題となる。 #devsumiD
2012-02-17 16:07:07
nyamairi
@nyamairi
プログラミングに関する基礎的なセキュリティだけでなく、プラットフォームやAPIに関わるセキュリティにも注意しなければならない。 #devsumiD
2012-02-17 16:08:26
nyamairi
@nyamairi
Javaについては「Javaセキュアコーディング」を読むと良い。Androidセキュアコーディングも近々公開予定。 #devsumiD
2012-02-17 16:09:35
鉄馬(てつうま)
@te2uma
#devsumiD 言語非依存とJava言語特有の注意点はJavaセキュアコーディングのドキュメントで。コード解析ツールもサポート。APIやプラットフォーム固有は個別にあたるしかない。こっちがJSSECがドキュメント作成中。
2012-02-17 16:10:05