公開: 2012年2月18日22時25分頃 「スマートフォンアプリケーションでSSLを使わないのは脆弱性か (blog.tokumaru.org)」。 勝手にまとめると、まず前半がこういう話ですね。 アプリケーションの利用者にも通信内容を見せない、という目的で暗号化するのは問題がある。「隠すこと」による脆弱性対策は危険。独自の暗号化を使用すると、「プライバシー情報の不正送信が行われているのではないか」と疑われることにもつながる。通信の暗号化なら標準的なSSL/TLSを使えば良い。そして、後半は少し違う話になっています。 スマートフォンでは素性の良く分からないWi-Fiで通信する機会も多いため、傍受・改竄対策としての暗号化は重要。しかしブラウザと違い、スマートフォンのアプリでは、通信が暗号化されているかどうか利用者には分からない。暗号化通信の有無が利用者にはっきり分かるような状況にすることが
書籍「Android Security 安全なアプリケーションを作成するために」は既に各方面で絶賛されているように、Androidアプリケーションの開発者には必携の書籍だと思いますが、新しい分野だけに、首をひねらざるを得ない箇所もありました。このエントリでは、同書第10章「暗号化手法」から共通鍵の生成方法について議論します。 はじめに 書籍「Android Security」(業界では「タオ本」と呼ばれているので、以下タオ本と記述)の10章では、端末内のファイルを暗号化して保存する手法について説明されています。その際に問題となるのが、鍵の生成と保管の方法です。スマートフォン端末、とくにAndroid端末は、アプリケーションのリバースエンジニアリングとルート化の可能性は常にあるため、あらゆる場合にも破られない暗号化というものはありません。このため、守るべき情報資産と、想定する脅威(言い換え
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く