2012/02/17 デブサミ2012【17-D-5】Java/Android セキュアコーディング入門 #devsumi #devsumiD

10年後も世界で通じるエンジニアであるために Developers Summit 2012 http://codezine.jp/devsumi/2012 <講演概要> 続きを読む
1
jitsu @jitsu

次は、D会場でAndroidの話聴く #devsumiD

2012-02-17 15:09:02
ヤコペッティ @jacotan

#devsumib は駄目だったので(確か申し込み時点で無理だったような)、#devsumid に流れる。

2012-02-17 15:20:48
sohei @sohei

次は Java/Android セキュアコーディング入門 #devsumiD

2012-02-17 15:27:55
こばやし 'にらたま' けんいち @Niratama

17-D-5 Java-Androidセキュアコーディング入門 #devsumiD プレゼンのほうに17-E-5とか書いてあってちょっと焦った

2012-02-17 15:28:22
nyamairi @nyamairi

モバイルアプリのセキュリティ。アプリ単体だけ気をつけていてもダメ。サーバサイド等、網羅的に考える。 #devsumiD

2012-02-17 15:32:47
iza @iza_tk

owaspのモバイルアプリのトップ10リスク #devsumiD

2012-02-17 15:32:58
鉄馬(てつうま) @te2uma

#devsumiD モバイル端末におけるセキュリティ脅威の要因:成熟度の異なるプラットフォームの乱立、従来と比べ利用形態が複雑化、アプリだけの対策ではダメ(Webとの連携など)

2012-02-17 15:35:57
Yuki Anzai @yanzm

危険なデータ保存、トランスポート層の保護不足、クライアントサイドインジェクション、お粗末な認証・認可の実装、セッション管理不備、信頼できない入力に基づいたセキュリティー上の判断、サイドチャネルでの情報漏洩、暗号化メカニズムの欠陥、センシシティブな情報の漏洩 #devsumiD

2012-02-17 15:36:11
鉄馬(てつうま) @te2uma

#devsumiD モバイルアプリのトップ10リスク(OWASPのドラフト):一番は「危険なデータ保存」(パーミッションの設定できないSDカードなど)。10個のうち9つはアプリ側。

2012-02-17 15:36:21
Yuki Anzai @yanzm

JVN iPedia 脆弱性のデータベース #devsumiD

2012-02-17 15:38:12
iza @iza_tk

jvnipedia脆弱性検索 #devsumiD

2012-02-17 15:38:28
鉄馬(てつうま) @te2uma

#devsumiD JVN iPediaを「Android」をキーワードに検索した結果。モバイルアプリの脆弱性が結構みつかる。

2012-02-17 15:39:05
しん @shintwlv

JPCERTにら2011/7から30件くらいAndroidアプリ脆弱性の報告が届けられている #devsumiD

2012-02-17 15:41:16
nyamairi @nyamairi

脆弱性で一番多いものはファイル(DB)のパーミッションに関するもの。webviewのクロスサイトスクリプティング、JSONハイジャックも多い。 #devsumiD

2012-02-17 15:41:45
鉄馬(てつうま) @te2uma

#devsumiD JPCERTに届けられたAndroidの脆弱性。2011/7〜約30件の届け出があった。多いのは、ファイル(DB)のパーミッション系、Webview系(XSSとか)、JSONハイジャック系。新プラットフォームで過去の過ちの繰り返しも多い。

2012-02-17 15:41:53
テケテケ @tekepata

Androidアプリでは、過去の枯れた(PCの頃の)セキュリティ的過ちが繰り返されている。 #devsumiD

2012-02-17 15:43:24
Yuki Anzai @yanzm

過去の過ち: 暗号鍵のハードコーディング、乱数のエントロピー不足、センシシティブな情報の外部送信、エラーメッセージにセンシシティブな情報。 #devsumiD

2012-02-17 15:43:27
y-yagi @y_yagi

Androidの脆弱性の種類 : ファイルのパーミッション系、Webview系、JSONハイジャック系 #devsumiD

2012-02-17 15:43:32
nyamairi @nyamairi

繰り返される過ち。暗号化鍵のハードコーディング。乱数のエントロピー不足。センシティブな情報の外部送信。エラーメッセージにセンシティブな情報。 #devsumiD

2012-02-17 15:43:50
しん @shintwlv

過去の過ちが繰り返されてる→暗号化鍵のハードコード、乱数のエントロピー不足 とか #devsumiD

2012-02-17 15:44:15
鉄馬(てつうま) @te2uma

#devsumiD 繰り返される過去の過ち:暗号化鍵のハードコーディング、乱数のエントロピー不足、センシティブな情報の外部送信、エラーメッセージにセンシティブな情報(Veracodeのレポートより)

2012-02-17 15:44:27
nyamairi @nyamairi

繰り返される理由。プログラマが知らない。プラットフォームが成熟していない。知っているのに対処ができない(セキュアコーディングのできる環境でない)。 #devsumiD

2012-02-17 15:47:04
nyamairi @nyamairi

知るべきこと。言語に依存しないセキュアコーディング。言語に特化したセキュアコーディング。 #devsumiD

2012-02-17 15:48:02
鉄馬(てつうま) @te2uma

#devsumiD 同じ過ちが繰り返される原因:プログラマが「知らない」と「知っていても対応できない」があるが、セキュアコーディングは前者の対策

2012-02-17 15:48:17
まとめたひと
しんや @shinyaa31

日々成長を目論む横浜在住30代。経験/興味関心はJava/Groovy/Scala/Playframework/Agile/Scrum/TDD/Testing/CI/UX辺り。音楽はRHYMESTER/椎名林檎界隈。時々勉強会に顔を出しては、ブログに参加レポート書いたり諸々まとめたりしています。( TwitterID:@shinyaa31, はてなID:absj31 )