明日、敗訴しないためのAndroidセキュアコーディング・フォローアップ - Qiita本日(2016/02/18)、DroidKaigi 2016で「明日、敗訴しないためのAndroidセキュアコーディング」をお話させていただきました。終わった際にいくつか質疑応答を頂いたので振り返ったのですが、私が質問の意図を完全に把握出来ず変な回答をしている気がしたので、発表の緊張から解放された今、改めて自分の考えを記載しようと思いました。 資料はこちら 質問1: パスコードを暗号化してファイルにぶっこんでも、引張だしたら解析されてしまうのでは? これに対する回答はYesです。共通鍵だろうと公開鍵だろうと、それをアプリ上で作る以上、複合は余裕です。正直、アプリ上で作る以上その呪縛からは逃れられない(回答時に言えなかったこと) ただ私が作っているアプリ上で、暗号化しているものはパスコードのみです。ぶっこ抜いたパスコードは遠隔からでは使えない様にしているため、遠隔からの攻撃についてはセーフ。
