アカウント名:
パスワード:
ユーザー:なんてことを!端末開発者:助かった!マルウェア開発者:助かった!
実際のところ、時期尚早とすれば「ユーザーが設定してもアプリ側に回避手段がある」ってのが理由じゃないかな。
「ユーザーが設定してもアプリ側に回避手段がある」ならば、今回オミットする理由が理解できないのだが。(無いよりある方がマシ)
インストール時の選択なら、権限のチェックも簡単だろうけど、「過去に許可していた権限を取り上げる」のは完全に理解している人以外には使いづらいと思う。「本来なら書き込めない/読み込めないはずの領域」が場当たり的で理解しにくくなるから。
アプリ側でインストール時にやりたい放題する手法が流行してしまったら問題だろう。例えば、インストールした瞬間にアドレス帳を全部読み込んでローカルな権限の緩い部分へコピーする、みたいな動作が当たり前になると、後でユーザーが明示的にアドレス帳へのアクセスを禁止した場合に、「ユーザーの意図」と「アプリケーションの挙動」はずれる。
一貫性の面から考えると、セキュリティモデルとしては全く問題はないので、これを仕様と言い切ることも不可能ではないだろう。しかし、大多数のユーザーにとっては訳が分からないだろうから、実質的には脆弱性と変わらない。
>例えば、インストールした瞬間にアドレス帳を全部読み込んでローカルな権限の緩い部分へコピーする、みたいな動作が当たり前になるとお前がAndroidを知らないということはよくわかった
>お前がAndroidを知らないということはよくわかった
いや、別に普通にできますよ。
Androidにはインテントという仕組みがあるので、いろんなイベントに山ほどインテントを登録しておけばアプリとしてインストールされたのち、利用者が起動操作をしない(で、権限剥奪操作をしようとしている)間でもアプリが動けるケースが多く発生します。そのときにアドレス帳でもなんでもいいですが、抜ける限り抜いておいて/data配下のアプリ自身のディレクトリ配下にでも書いておけばいいでしょう。
このACさんは「インストール時の選択なら、権限のチェックも簡単だろうけど」っていうところを「記事にあるようにインストール時に確認してアプリを使うかどうかを選択する現行の動作なら」みたいに解釈してるんじゃないでしょうか。実際はAndroidだとインストール時に要求する権限一覧が出てそれをまるごと受け入れるかインストールを中止するかしかできないので、そんなことも知らないのかって笑ってると予想。言えばいいのに。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
反応を予想 (スコア:5, おもしろおかしい)
ユーザー:なんてことを!
端末開発者:助かった!
マルウェア開発者:助かった!
Re: (スコア:0)
実際のところ、時期尚早とすれば「ユーザーが設定してもアプリ側に回避手段がある」ってのが理由じゃないかな。
Re: (スコア:0)
「ユーザーが設定してもアプリ側に回避手段がある」ならば、今回オミットする理由が理解できないのだが。(無いよりある方がマシ)
Re: (スコア:0)
インストール時の選択なら、権限のチェックも簡単だろうけど、「過去に許可していた権限を取り上げる」のは完全に理解している人以外には使いづらいと思う。「本来なら書き込めない/読み込めないはずの領域」が場当たり的で理解しにくくなるから。
アプリ側でインストール時にやりたい放題する手法が流行してしまったら問題だろう。例えば、インストールした瞬間にアドレス帳を全部読み込んでローカルな権限の緩い部分へコピーする、みたいな動作が当たり前になると、後でユーザーが明示的にアドレス帳へのアクセスを禁止した場合に、「ユーザーの意図」と「アプリケーションの挙動」はずれる。
一貫性の面から考えると、セキュリティモデルとしては全く問題はないので、これを仕様と言い切ることも不可能ではないだろう。しかし、大多数のユーザーにとっては訳が分からないだろうから、実質的には脆弱性と変わらない。
Re: (スコア:0)
>例えば、インストールした瞬間にアドレス帳を全部読み込んでローカルな権限の緩い部分へコピーする、みたいな動作が当たり前になると
お前がAndroidを知らないということはよくわかった
Re: (スコア:0)
>お前がAndroidを知らないということはよくわかった
いや、別に普通にできますよ。
Androidにはインテントという仕組みがあるので、
いろんなイベントに山ほどインテントを登録しておけば
アプリとしてインストールされたのち、利用者が起動操作をしない
(で、権限剥奪操作をしようとしている)間でもアプリが動けるケースが多く発生します。
そのときにアドレス帳でもなんでもいいですが、
抜ける限り抜いておいて/data配下のアプリ自身のディレクトリ配下にでも書いておけばいいでしょう。
Re:反応を予想 (スコア:2)
このACさんは「インストール時の選択なら、権限のチェックも簡単だろうけど」っていうところを「記事にあるようにインストール時に確認してアプリを使うかどうかを選択する現行の動作なら」みたいに解釈してるんじゃないでしょうか。実際はAndroidだとインストール時に要求する権限一覧が出てそれをまるごと受け入れるかインストールを中止するかしかできないので、そんなことも知らないのかって笑ってると予想。言えばいいのに。