アカウント名:
パスワード:
というオチはない?
これに限らず 一般的に,どこらへんを見てアプリを信用したらいいの? というのは 常々ありますね.GooglePlayにも データ抜き取り系のマルウェアアプリが,とかって話は 時々聞きますし.
公式アプリなんかでも,発行元を見ると『この会社,どこ…?』っていうのがよくあります.//例を出すと,つい最近では 某酪農系アニメの公式アプリ とか.//放送元じゃなくて アプリ開発元の下請けの名前で出てるので,//GooglePlayのページだけだと 信頼性が判断できないよなあ,と.
皆さん どうやって信頼性を判断されてるんでしょう?
名の知れた情報サイトとか からリンクを辿ってきたら ある程度は信頼できるのかなあ…(試してるんだから 人柱も立ってるし),くらいの もやっとした判断方法じゃあちょっとな…;と思ってます.
アンドロにはNoRootファイアウォールっていう革命的なアプリがあってだな。作者は日本人っぽいし権限も最小限。ルート取らなくても、開発環境上のエミュレーションで無くても、通信周りの挙動を把握できる。
とにかくアウトバウンドを止められるので許可・拒否出来れば流出は無い。アドウェアの為にインバウンドは許可してやればいいのに、とか余計な心配をしてしまうが・・・。不要な筈の不審な通信があったら、通信先をWhoisすればいい。
使えない端末もあるけどね。VPNが壊れてるHTC系が駄目っぽい。
それは全通信をその作者に送っているということでしょうか。 それはそれで怖いな。
そんなハイスペックなサーバねえよ
いや、ローカルで鯖立ててそれとVPNしてる。作者は日本人。
「作者は日本人」が信頼性の担保になってると思ってるバカがいる、
国内法が及ぶかは大事でしょ。
そのころはインターネット自体が無かったから(会社のネットワーク内とかを除いて)流失すること自体がなかった
データ流失といえばWinGroove事件とかありましたねぇ
へー、2000年以前にフリーソフトとかなかったんだ
署名すらされていないアプリばかりだったね。
Internetがはじまったのはi-phoneからですよ
自分だけが痛い目を見るか、他人を巻き込むかはだいぶ違うかなと。Windowsでは自分や他人の個人情報(正確な氏名、電話番号、メールアドレス、住所、誕生日etc...入り)を入れてるケースも統一されたAPIも少なかったですからね。# もちろん、 MAPI [microsoft.com]/WAB API [microsoft.com]でメールアドレスを収集してという物もありましたが。ちゃんとしている方や法人だと「フリー(無料)ソフトウェア使用禁止」とか、システムを構築・媒体制限・媒体やネットワークを隔離・暗号化等で適切なアクセス制限を構築してると思います。
それにSSL証明書と一緒で電子署名されたところで悪意あるソフトウェアで無いという保証はありません。バイナリが改竄されて署名者(ソフトウェア作者とは限らない)が署名したバイナリと同じ動作をする事が確認できる程度でしょうか。少し前に
先日死亡報道があった金子さんがどういうソフトを開発していたのか、そのネットワーク上で何でもかんでもつまみ食いするバカが何を起こしたのか知らないの? 一時は連日のように報道されてたんだけど。# ちなみに報道されなくなっただけで事故は今でも起きてる。
インターネットを破壊するとか大口叩いた割には何も残せなかったよね彼
捏造おつかれ
結局「どこらへんを見てアプリを信用したらいいの?」という質問に対しては「不可能。諦めろ。以上」って答えでいいの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
これ自身、脆弱性を突くトロイの木馬でした (スコア:1)
というオチはない?
Re:これ自身、脆弱性を突くトロイの木馬でした (スコア:1)
これに限らず 一般的に,どこらへんを見てアプリを信用したらいいの? というのは 常々ありますね.
GooglePlayにも データ抜き取り系のマルウェアアプリが,とかって話は 時々聞きますし.
公式アプリなんかでも,発行元を見ると『この会社,どこ…?』っていうのがよくあります.
//例を出すと,つい最近では 某酪農系アニメの公式アプリ とか.
//放送元じゃなくて アプリ開発元の下請けの名前で出てるので,
//GooglePlayのページだけだと 信頼性が判断できないよなあ,と.
皆さん どうやって信頼性を判断されてるんでしょう?
名の知れた情報サイトとか からリンクを辿ってきたら ある程度は信頼できるのかなあ…(試してるんだから 人柱も立ってるし),
くらいの もやっとした判断方法じゃあちょっとな…;と思ってます.
Re:これ自身、脆弱性を突くトロイの木馬でした (スコア:1)
アンドロにはNoRootファイアウォールっていう革命的なアプリがあってだな。
作者は日本人っぽいし権限も最小限。
ルート取らなくても、開発環境上のエミュレーションで無くても、通信周りの挙動を把握できる。
とにかくアウトバウンドを止められるので許可・拒否出来れば流出は無い。
アドウェアの為にインバウンドは許可してやればいいのに、とか余計な心配をしてしまうが・・・。
不要な筈の不審な通信があったら、通信先をWhoisすればいい。
使えない端末もあるけどね。VPNが壊れてるHTC系が駄目っぽい。
Re:これ自身、脆弱性を突くトロイの木馬でした (スコア:2)
それは全通信をその作者に送っているということでしょうか。
それはそれで怖いな。
Re: (スコア:0)
そんなハイスペックなサーバねえよ
Re: (スコア:0)
いや、ローカルで鯖立ててそれとVPNしてる。
作者は日本人。
Re: (スコア:0)
「作者は日本人」が信頼性の担保になってると思ってるバカがいる、
Re: (スコア:0)
国内法が及ぶかは大事でしょ。
Re: (スコア:0)
そのころはインターネット自体が無かったから(会社のネットワーク内とかを除いて)流失すること自体がなかった
Re: (スコア:0)
データ流失といえばWinGroove事件とかありましたねぇ
Re: (スコア:0)
へー、2000年以前にフリーソフトとかなかったんだ
Re: (スコア:0)
署名すらされていないアプリばかりだったね。
Re: (スコア:0)
Internetがはじまったのはi-phoneからですよ
Re: (スコア:0)
自分だけが痛い目を見るか、他人を巻き込むかはだいぶ違うかなと。
Windowsでは自分や他人の個人情報(正確な氏名、電話番号、メールアドレス、住所、誕生日etc...入り)を入れてるケースも統一されたAPIも少なかったですからね。
# もちろん、 MAPI [microsoft.com]/WAB API [microsoft.com]でメールアドレスを収集してという物もありましたが。
ちゃんとしている方や法人だと「フリー(無料)ソフトウェア使用禁止」とか、システムを構築・媒体制限・媒体やネットワークを隔離・暗号化等で適切なアクセス制限を構築してると思います。
それにSSL証明書と一緒で電子署名されたところで悪意あるソフトウェアで無いという保証はありません。
バイナリが改竄されて署名者(ソフトウェア作者とは限らない)が署名したバイナリと同じ動作をする事が確認できる程度でしょうか。
少し前に
Re: (スコア:0)
先日死亡報道があった金子さんがどういうソフトを開発していたのか、そのネットワーク上で何でもかんでもつまみ食いするバカが何を起こしたのか知らないの? 一時は連日のように報道されてたんだけど。
# ちなみに報道されなくなっただけで事故は今でも起きてる。
Re: (スコア:0)
インターネットを破壊するとか大口叩いた割には何も残せなかったよね彼
Re: (スコア:0)
捏造おつかれ
Re: (スコア:0)
結局「どこらへんを見てアプリを信用したらいいの?」という質問に対しては「不可能。諦めろ。以上」って答えでいいの?