アカウント名:
パスワード:
>公式のAndroidマーケットではアプリの事前審査が十分に行われていないことが指摘されている。>Googleは審査を強化すべきだといった声が強まっている。開発者側だとアップルの不明瞭な審査は嫌ですからね。それより審査無くて簡単にソフト公開できるAndroidマーケットは便利です。
それと事前審査するとなると今度は審査の手間から金の徴収がされるのでは?と心配になる。現在は最初に25$だけと有料アプリの場合は30%の手数料だけど今後はアップルみたいに一年ごとにお布施が必要になるのは嫌だな。
技術者視点で言うと、そもそもブラックボックステストでのセキュリティ審査なんて「やりようがない」はずなわけで、発見したら即リジェクトしてKill swtichで消す、以外に現実に有効な手段ってないよなぁと思ったり。
「事前審査ガー」とか言ってる人たちは、具体的にどのような魔法の技術で審査すべき(もしくはアップルがどのような審査()をしている)と思っているのだろう。アップル界が「ウイルス対策業者に騒がれない」理由なら簡単に言えるよ。出禁だから、以外の何物でも無い。でもあの現実に電話帳ブッコ抜かれまくりワールドでどんな事前審査がどう機能してるって言うんだろう?
> 現実に電話帳ブッコ抜かれまくりワールド
なぜそんなことが起こるのでしょうか。なぜ防げないのでしょうか。アプリから自由に見れるところに電話帳データが置いてたりするのでしょうか。
ケータイやスマホの開発って知らないので、まじ知りたい。
>アプリから自由に見れるところに電話帳データが置いてたりするのでしょうか。そのおかげで電話帳アプリの開発ができます。標準の電話帳アプリは使いやすいとは言えないので
>ケータイやスマホの開発って知らないので、まじ知りたい。フィーチャーフォンのアプリ(iアプリなど)はネイティブアプリとの制限の差がすごくてアプリを開発していても面白くない。
> そのおかげで電話帳アプリの開発ができます。標準の電話帳アプリは使いやすいとは言えないので
たとえばアプリが電話帳データを見たい場合、アプリ起動時(あるいはインストール時)にOSから権限取得しないといけないようにしておけば、OS側で警告パネルを出すこともできるし、審査時にその部分を見ればこのアプリが電話帳データを取得してるということが簡単に分かるようにもできますよね。ほか、審査時に届け出を行って電話帳データ取得API呼び出しに必要な暗号キーを発行してもらわないといけないとか、いくらでも仕組みは考えられると思います。暗号キーをアプリのバイナリのハッシ
わかっててdisっているんだろうとは思うが、アップルは電話帳ノーガード戦法をとっているから、そんな対策はしていない。Androidは設定ファイルで権限ビットを立てるとマーケットからダンロード時にその権限についての説明が出るが、ユーザーは基本的に読まずにOKを押すからあまり意味が無い。
>たとえばアプリが電話帳データを見たい場合、>アプリ起動時(あるいはインストール時)に>OSから権限取得しないといけないようにしておけば、OS側で警告パネルを出すこともできるし、>審査時にその部分を見ればこのアプリが電話帳データを取得してるということが>簡単に分かるようにもできますよね。
インストール時や審査時(利用者自身によるインストール時確認も含む)に、というならAndroidはすでにやっていることになります。
ただ、Androidでは「画面を持たないイベント起動のバックグラウンドサービス」も作成できるため、このようなアプリで実行時に権限許可を求
そもそも審査が必要であること自体、技術的な不完全さの現れなんだと思う。
OSは、アプリに対して性悪説に基づいて対応すればいいのに。あたかも、ウェブブラウザがウェブページ上で走るスクリプトに対して性悪説に基づいて対応するかのように。
こういうのは常に技術的には不完全なもの性悪説にのっとってpermission systemがあったからって技術的な不完全さが完全に解消されるわけじゃない
でもそもそも「審査」なるものが一体何を担保しているのか不明なのが問題何か革命的な新技術でもない限り早晩いたちごっこになって意味をなさなくなるはずのものが何故銀の弾丸のように喧伝されているのかと大丈夫だから信じろ証拠は無い、ってのは技術的に不完全という以前に技術的に不誠実すぎる
これで信じちゃう人が多いから成り立ってる話なんだろうけどねぇ
技術的不完全とか、いたちごっこだとか、それは大前提になってる話。
今回のように、プレミアSNSにアクセスするとか、著名アプリにマルウェアをバンドルとか、そういう典型的な手法のチェックならば、審査時の負荷が過大とは言えないでしょう。
斬新な手法だったら、審査を通っても仕方がないさ。審査なんだから、既存の基準に依存するのは避けられない。
有料SMSのpermissin使用を例えばカテゴリ別に制限するとかは意味あるだろうけどなぁ、それって審査というよりは自動的なフィルタだし
> 著名アプリにマルウェアをバンドルこれをどうやって審査するの?全アプリ逆コンパイルして審査するの?まさかそれをAppleがやっているとでも思ってるの?審査がナンセンスもしくは審査を銀の弾丸だと思ってる奴がバカだって言われるのはまさにそこだよ
もしかしてバカですか?
Appleの審査が何しているかは知らないが(公表しないってことも一つの防御になる)著名アプリに似たアプリは却下されるよ。アプリの内容をみていることは確かだね(だからエロ系も却下される)
そもそもAndroidアプリのように簡単にリバース出来ないし・・・(Appleはしている可能性はあるが)使えるAPIに制限があって、サンドボックスで動くので出来ることにも制限あるし彼ログのようなものが簡単にできる Android だけだよ。
えっ、あなたの脳内攻撃パターンは割れ物だけなんですか?#まあそもそもAppStoreも割れ物問題はあるんですが
アプリの内容を見ている、って犯罪者がアプリの内容を自己申告してくれる前提ですか。バカすぎてしびれます。
> Appleの審査が何しているかは知らないがまあセキュリティ審査については何をやっているのか誰も知らないと思います。そう、Apple自身ですらね。技術的観点で現実に「こんなことしてるんじゃね」という意見すら見かけないのは何故だと思いますか。今のiOSで可能なセキュリティ審査なんてほぼ皆無だからですよ。
> 彼ログのようなものが簡単にできる Android だけだよiOSでもできますよ。おあつらえ向きにマルチタスクAPIにモロGPSロガーがあります。電話帳や予定表はいくらでも引っこ抜けるし、ろくな確認のないiOSではむしろAndroidより作りやすいくらいですよ。あなたのインストールしているアプリが電話帳を引っこ抜いていないと何を根拠に確信しているのですか?
アップルの不明瞭な審査
まあ、世間の大概の審査と呼ばれるものは不明瞭なものだよ。明らかな誤審なら叩かれるけど、アップルだって酷く叩かれない程度には立ち回るし。
Androidの審査は明瞭さを優先した分、さじ加減の対応は苦手だよね。
登録料無料の強制オープンソースアカウントと月額30ドルの商用アカウントに分けるとか
年額99ドルで無法地帯になっている例を考えると月額30ドルで「商用アカウント」になって利用者の油断が誘えるなら犯罪者の皆さんは喜んで月額30ドル払うと思うよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
審査 (スコア:0)
>公式のAndroidマーケットではアプリの事前審査が十分に行われていないことが指摘されている。
>Googleは審査を強化すべきだといった声が強まっている。
開発者側だとアップルの不明瞭な審査は嫌ですからね。
それより審査無くて簡単にソフト公開できるAndroidマーケットは便利です。
それと事前審査するとなると今度は審査の手間から金の徴収がされるのでは?と心配になる。
現在は最初に25$だけと有料アプリの場合は30%の手数料だけど
今後はアップルみたいに一年ごとにお布施が必要になるのは嫌だな。
Re: (スコア:0)
技術者視点で言うと、
そもそもブラックボックステストでのセキュリティ審査なんて「やりようがない」はずなわけで、
発見したら即リジェクトしてKill swtichで消す、以外に現実に有効な手段ってないよなぁと思ったり。
「事前審査ガー」とか言ってる人たちは、具体的にどのような魔法の技術で審査すべき(もしくはアップルがどのような審査()をしている)と思っているのだろう。
アップル界が「ウイルス対策業者に騒がれない」理由なら簡単に言えるよ。出禁だから、以外の何物でも無い。
でもあの現実に電話帳ブッコ抜かれまくりワールドでどんな事前審査がどう機能してるって言うんだろう?
Re: (スコア:0)
> 現実に電話帳ブッコ抜かれまくりワールド
なぜそんなことが起こるのでしょうか。なぜ防げないのでしょうか。
アプリから自由に見れるところに電話帳データが置いてたりするのでしょうか。
ケータイやスマホの開発って知らないので、まじ知りたい。
Re: (スコア:0)
>アプリから自由に見れるところに電話帳データが置いてたりするのでしょうか。
そのおかげで電話帳アプリの開発ができます。標準の電話帳アプリは使いやすいとは言えないので
>ケータイやスマホの開発って知らないので、まじ知りたい。
フィーチャーフォンのアプリ(iアプリなど)はネイティブアプリとの制限の差がすごくてアプリを開発していても面白くない。
Re: (スコア:0)
> そのおかげで電話帳アプリの開発ができます。標準の電話帳アプリは使いやすいとは言えないので
たとえばアプリが電話帳データを見たい場合、アプリ起動時(あるいはインストール時)に
OSから権限取得しないといけないようにしておけば、OS側で警告パネルを出すことも
できるし、審査時にその部分を見ればこのアプリが電話帳データを取得してるということが
簡単に分かるようにもできますよね。ほか、審査時に届け出を行って電話帳データ取得API
呼び出しに必要な暗号キーを発行してもらわないといけないとか、いくらでも仕組みは考え
られると思います。暗号キーをアプリのバイナリのハッシ
Re: (スコア:0)
わかっててdisっているんだろうとは思うが、アップルは電話帳ノーガード戦法をとっているから、そんな対策はしていない。
Androidは設定ファイルで権限ビットを立てるとマーケットからダンロード時にその権限についての説明が出るが、ユーザーは基本的に読まずにOKを押すからあまり意味が無い。
Re: (スコア:0)
>たとえばアプリが電話帳データを見たい場合、
>アプリ起動時(あるいはインストール時)に
>OSから権限取得しないといけないようにしておけば、OS側で警告パネルを出すこともできるし、
>審査時にその部分を見ればこのアプリが電話帳データを取得してるということが
>簡単に分かるようにもできますよね。
インストール時や審査時(利用者自身によるインストール時確認も含む)に、というなら
Androidはすでにやっていることになります。
ただ、Androidでは「画面を持たないイベント起動のバックグラウンドサービス」も作成できるため、
このようなアプリで実行時に権限許可を求
Re: (スコア:0)
そもそも審査が必要であること自体、技術的な不完全さの現れなんだと思う。
OSは、アプリに対して性悪説に基づいて対応すればいいのに。
あたかも、ウェブブラウザがウェブページ上で走るスクリプトに対して
性悪説に基づいて対応するかのように。
Re:審査 (スコア:1)
こういうのは常に技術的には不完全なもの
性悪説にのっとってpermission systemがあったからって技術的な不完全さが完全に解消されるわけじゃない
でもそもそも「審査」なるものが一体何を担保しているのか不明なのが問題
何か革命的な新技術でもない限り早晩いたちごっこになって意味をなさなくなるはずのものが何故銀の弾丸のように喧伝されているのかと
大丈夫だから信じろ証拠は無い、ってのは技術的に不完全という以前に技術的に不誠実すぎる
これで信じちゃう人が多いから成り立ってる話なんだろうけどねぇ
Re:審査 (スコア:2)
技術的不完全とか、いたちごっこだとか、それは大前提になってる話。
今回のように、プレミアSNSにアクセスするとか、著名アプリにマルウェアをバンドルとか、そういう典型的な手法のチェックならば、審査時の負荷が過大とは言えないでしょう。
斬新な手法だったら、審査を通っても仕方がないさ。審査なんだから、既存の基準に依存するのは避けられない。
Re: (スコア:0)
有料SMSのpermissin使用を例えばカテゴリ別に制限するとかは意味あるだろうけどなぁ、それって審査というよりは自動的なフィルタだし
> 著名アプリにマルウェアをバンドル
これをどうやって審査するの?
全アプリ逆コンパイルして審査するの?まさかそれをAppleがやっているとでも思ってるの?
審査がナンセンスもしくは審査を銀の弾丸だと思ってる奴がバカだって言われるのはまさにそこだよ
Re: (スコア:0)
もしかしてバカですか?
Appleの審査が何しているかは知らないが(公表しないってことも一つの防御になる)
著名アプリに似たアプリは却下されるよ。
アプリの内容をみていることは確かだね(だからエロ系も却下される)
そもそもAndroidアプリのように簡単にリバース出来ないし・・・(Appleはしている可能性はあるが)
使えるAPIに制限があって、サンドボックスで動くので出来ることにも制限あるし
彼ログのようなものが簡単にできる Android だけだよ。
Re: (スコア:0)
えっ、あなたの脳内攻撃パターンは割れ物だけなんですか?
#まあそもそもAppStoreも割れ物問題はあるんですが
アプリの内容を見ている、って犯罪者がアプリの内容を自己申告してくれる前提ですか。バカすぎてしびれます。
> Appleの審査が何しているかは知らないが
まあセキュリティ審査については何をやっているのか誰も知らないと思います。そう、Apple自身ですらね。
技術的観点で現実に「こんなことしてるんじゃね」という意見すら見かけないのは何故だと思いますか。今のiOSで可能なセキュリティ審査なんてほぼ皆無だからですよ。
> 彼ログのようなものが簡単にできる Android だけだよ
iOSでもできますよ。おあつらえ向きにマルチタスクAPIにモロGPSロガーがあります。
電話帳や予定表はいくらでも引っこ抜けるし、ろくな確認のないiOSではむしろAndroidより作りやすいくらいですよ。
あなたのインストールしているアプリが電話帳を引っこ抜いていないと何を根拠に確信しているのですか?
Re: (スコア:0)
アップルの不明瞭な審査
まあ、世間の大概の審査と呼ばれるものは不明瞭なものだよ。
明らかな誤審なら叩かれるけど、アップルだって酷く叩かれない程度には立ち回るし。
Androidの審査は明瞭さを優先した分、さじ加減の対応は苦手だよね。
Re: (スコア:0)
登録料無料の強制オープンソースアカウントと月額30ドルの商用アカウントに分けるとか
Re: (スコア:0)
年額99ドルで無法地帯になっている例を考えると
月額30ドルで「商用アカウント」になって利用者の油断が誘えるなら
犯罪者の皆さんは喜んで月額30ドル払うと思うよ。