2012/02/17 デブサミ2012【17-D-5】Java/Android セキュアコーディング入門 #devsumi #devsumiD
17-D-5 Java-Androidセキュアコーディング入門 #devsumiD プレゼンのほうに17-E-5とか書いてあってちょっと焦った
2012-02-17 15:28:22#devsumiD モバイル端末におけるセキュリティ脅威の要因:成熟度の異なるプラットフォームの乱立、従来と比べ利用形態が複雑化、アプリだけの対策ではダメ(Webとの連携など)
2012-02-17 15:35:57危険なデータ保存、トランスポート層の保護不足、クライアントサイドインジェクション、お粗末な認証・認可の実装、セッション管理不備、信頼できない入力に基づいたセキュリティー上の判断、サイドチャネルでの情報漏洩、暗号化メカニズムの欠陥、センシシティブな情報の漏洩 #devsumiD
2012-02-17 15:36:11#devsumiD モバイルアプリのトップ10リスク(OWASPのドラフト):一番は「危険なデータ保存」(パーミッションの設定できないSDカードなど)。10個のうち9つはアプリ側。
2012-02-17 15:36:21#devsumiD JVN iPediaを「Android」をキーワードに検索した結果。モバイルアプリの脆弱性が結構みつかる。
2012-02-17 15:39:05脆弱性で一番多いものはファイル(DB)のパーミッションに関するもの。webviewのクロスサイトスクリプティング、JSONハイジャックも多い。 #devsumiD
2012-02-17 15:41:45#devsumiD JPCERTに届けられたAndroidの脆弱性。2011/7〜約30件の届け出があった。多いのは、ファイル(DB)のパーミッション系、Webview系(XSSとか)、JSONハイジャック系。新プラットフォームで過去の過ちの繰り返しも多い。
2012-02-17 15:41:53過去の過ち: 暗号鍵のハードコーディング、乱数のエントロピー不足、センシシティブな情報の外部送信、エラーメッセージにセンシシティブな情報。 #devsumiD
2012-02-17 15:43:27繰り返される過ち。暗号化鍵のハードコーディング。乱数のエントロピー不足。センシティブな情報の外部送信。エラーメッセージにセンシティブな情報。 #devsumiD
2012-02-17 15:43:50#devsumiD 繰り返される過去の過ち:暗号化鍵のハードコーディング、乱数のエントロピー不足、センシティブな情報の外部送信、エラーメッセージにセンシティブな情報(Veracodeのレポートより)
2012-02-17 15:44:27繰り返される理由。プログラマが知らない。プラットフォームが成熟していない。知っているのに対処ができない(セキュアコーディングのできる環境でない)。 #devsumiD
2012-02-17 15:47:04#devsumiD 同じ過ちが繰り返される原因:プログラマが「知らない」と「知っていても対応できない」があるが、セキュアコーディングは前者の対策
2012-02-17 15:48:17日々成長を目論む横浜在住30代。経験/興味関心はJava/Groovy/Scala/Playframework/Agile/Scrum/TDD/Testing/CI/UX辺り。音楽はRHYMESTER/椎名林檎界隈。時々勉強会に顔を出しては、ブログに参加レポート書いたり諸々まとめたりしています。( TwitterID:@shinyaa31, はてなID:absj31 )