はてなブックマーク - 徳丸浩の日記: スマートフォンアプリケーションでSSLを使わないのは脆弱性か

徳丸浩の日記: スマートフォンアプリケーションでSSLを使わないのは脆弱性か

blog.tokumaru.org

タグ : security セキュリティスマートフォン SSL mobile Android smartphone アプリ web 暗号化

コンピュータ・IT 288 users

2012年 2月6日月曜日スマートフォンアプリケーションでSSLを使わないのは脆弱性かこのエントリでは、スマートフォンアプリケーションの通信暗号化の必要性について議論します。はじめに先日、スマートフォンアプリケーションのセキュリティに関するセミナーを聴講しました。この際に、スマートフォンアプリケーションの脅威に対する共通認識がまだないという課題を改めて感じました。その課題を痛感できたという点で、セミナーは私にとっては有益でした。このため、当ブログではスマートフォンアプリケーションの話題をあまり取り... > このページを見る

最終更新時間: 2012年02月06日09時11分

▼ブログで紹介する

このエントリーに含まれている商品

体系的に学ぶ安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践

体系的に学ぶ安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践
徳丸浩
￥ 3,360
在庫あり。 (2011/09/17 17:10 時点) 価格表示について
価格は、記載された日付／時刻の時点において正確です。価格は変更される場合があります。購入時にAmazonウェブサイトに表示されている価格が、その商品の販売に適用されます。
- 出版社/メーカー:ソフトバンククリエイティブ(大型本)
- 発売日:2011/03/03
- Amazon.co.jp 商品ランキング:1,257 位

みんなのブックマーク人気（3）新着

typex2
徳丸さんが業務拡大につきこっち側に攻めてきている件。(^_-) 2012/02/062 RT
2 RT
- @roishi2j2 「告知せず平文通信している場合は、アプリケーションの脆弱性とみなすことを提案します（公開情報のみを通信している場合を除く）」とな。 RT @typex20: 徳丸さんが業務拡大につきこっち側に攻めてきている件。(^_-) http://t.co/WyRzNcHp
kazoo_oo security, mobile
「通信内容を隠してしまえば攻撃もできなくなるだろうという発想は危険です。」 2012/02/07
kazuhooku
POSTに限定するのが現実的な気も > 「告知せず平文通信している場合は、アプリケーションの脆弱性とみなす」 2012/02/062 RT
2 RT
- @tdaigu FBIによる解読が不能な場合はテロリストとする RT @kazuho: POSTに限定するのが現実的な気も > 「告知せず平文通信している場合は、アプリケーションの脆弱性とみなす」

hamanako
"平文通信の場合は常に告知せよ、そうでなければ脆弱性" NHKが渋谷の喫茶店で無線LANをパケットキャプチャする様子とかをテレビで流してくれないかな 2012/02/11
pmakino 携帯
[セキュリティ[SSL]遅延が良くない3G回線でSSL利用を求めるのはいかがなものか…と一瞬思ったけど、逆に読めば告知さえすれば平文でも問題ないのか。しかしいちいち告知では鬱陶しいので結局SSLに逃げることになりそう。 2012/02/10
jpshadowapps セキュリティ, スマートフォン
"スマートフォンアプリケーションの場合は、アプリケーションがHTTP平文通信しているのか、HTTPSの暗号化通信を利用しているのかは、一般利用者には分かりません"からの論 2012/02/09
raitu security, mobile
「スマートフォンアプリケーションの場合、暗号鍵を隠すことが困難」「アプリケーションのリバースエンジニアリングが可能」 2012/02/081 RT

1 RT
t-murachi Android, セキュリティ, SSL, 開発
2/8 追記あり。なんにせよ、スマートフォンアプリは SSL 使うべき、っちう事だ罠。 2012/02/08
Kshi_Kshi Android, SSL, スマートフォン, security
あとで読む 2012/02/07
Qwerty401 セキュリティ
スマホアプリの場合、信頼性の低い公衆無線LANの利用も想定されるが、SSL通信しているかどうか利用者には分からない。「平文通信の場合は常に告知せよ、そうでなければ脆弱性」 2012/02/07
mshattori Android, Smartphone, Security
アプリケーションの場合SSL通信しているかどうか利用者には分からないため、通信路をSSL暗号化していない場合にはその旨を告知する/告知せず平文通信している場合は、アプリケーションの脆弱性とみなすことを提案 2012/02/07
deep_one security
「アプリケーションがHTTP平文通信しているのか、HTTPSの暗号化通信を利用しているのかは、一般利用者には分かりません。」確かに。 2012/02/07
kaito834 android
「(1)通信内容の暗号化」と「(2)その通信を発信するアプリの暗号化（処理）」の2つが同列に書かれている印象。話の中心は(2)が解析されることをどう考えるかで、結論部で(1)の話に戻っているように読んだ。 2012/02/07
tosebro セキュリティ, スマートフォン
素直にSSL使いましょうよ、というお話。やはりブラウザのように、使用有無が一目で分かるようになって欲しい。SSL通信中アプリを通知バーで…いや、大変なことになるな。 2012/02/07
kochizufan スマートフォン, セキュリティ, 通信
ほぼ同じ感覚だったが、専門家じゃなく見落としがないかと不安だったので、専門家の裏付けが取れて安心した。 2012/02/07
kazoo_oo security, mobile
「通信内容を隠してしまえば攻撃もできなくなるだろうという発想は危険です。」 2012/02/07
meets623
徳丸浩の日記: スマートフォンアプリケーションでSSLを使わないのは脆弱性か 2012/02/07
m-kawato mobile, security
"アプリケーションの場合SSL通信しているかどうか利用者には分からないため、通信路をSSL暗号化していない場合にはその旨を告知することが望ましい" 2012/02/06
Nagise
Wi-Fi部分でパケットキャプチャされる可能性があるだけスマホのほうが危ないか。確かに 2012/02/06
k146
まだID/PASSを平文でやり取りさせるサービスあるけど、アプリレベルだとそれすら視認出来ない場合も多々あって辟易する時がある。 2012/02/06
toshi19650104
徳丸浩の日記: スマートフォンアプリケーションでSSLを使わないのは脆弱性か [コンピュータ・IT] [blog-it] 2012/02/06
hiro_y security, iphone, android
「アプリケーションの場合SSL通信しているかどうか利用者には分からないため、通信路をSSL暗号化していない場合にはその旨を告知することが望ましい」 2012/02/06
longroof
徳丸浩の日記: スマートフォンアプリケーションでSSLを使わないのは脆弱性か 2012/02/06