Androidの脆弱性(まとめ版)
JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 について見つけたいきさつを記事にしました。 こちらは長いので、ざっくりバッサリ、なるべく簡潔に、何ができちゃうのか・何がヤバいのかをまとめます。 【原因】 WebViewの addJavascriptInterface()の危険性(参考)が、Android 3.x/4.0/4.1 ではWebViewそのものに存在する。 このためWebViewをそのまま使っているアプリや、WebViewのラッパにすぎない標準ブラウザに同様の脆弱性がある。(Android版ChromeはWebViewを使っていないので問題ないです) 【何ができてしまうか】 JVNに書かれている通り Android 標準ブラウザや WebView クラスを利用しているアプリで、細工されたウェブページを閲覧した際に、ユーザの意
メールアドレス漏れ問題の追記 - レジデント初期研修用資料
自分のメールボックス、具体的にはGmail の「アーカイブ」を調べなおしました。 電話をくれた、今回メールアドレスが表示された方は、うちのサイトに対する感想メールを、2年ぐらい前に下さった方でした。 その人とは「ありがとうございました」みたいな時候の挨拶を返したきりで、その後のやりとりはなく、 もちろんお互いの携帯電話番号など交換していないのですが、要するに今回起きたことというのは、 たまたま相手がうちの電話に間違い電話をかけて、その相手が、偶然にも以前、 その人がメールを出したことのある人間だったという、極めてまれな事例を見ていた可能性が高そうです。 お騒がせして申し訳ありませんでした。 その代わり、たとえば自分のメールアドレスは昔からの公開アドレスであり、今の時点ですでに3000人以上、 もはやGmail のページを見ても、アーカイブには「数千人」としか表示されない数のメールがたまって
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
