アカウント名:
パスワード:
Androidは、WindowsやiOSと違い基本となるGoogleの実装に対し、メーカーごとにセキュリティフィックスその他を組み込み結果としてブランチのような状態で端末に導入されます。
ですので、メジャーアップデートがされないとしてもセキュリティフィックスを含むマイナーアップデートは続く機種が多く、結果として、たとえばLINX SH-10BやIS01のように「Androiid 2.1にはメジャーアップデートしない」「だが、Android 1.6の状態で新しく発見されたセキュリティホールにはフィックスを提供」などの状態になっている機種が多くのが現状です。
ですので、>しかし実際にはOSアップグレードやサポートパッチに対応した方が>ユーザの信頼を得られることは明かであり、将来の買い替えにも繋がるはずであるとDeGusta氏は言う。 の「サポートパッチ」については、少なくとも国内でのキャリア販売モデルの実態には即していません。
でも実際はそのセキュリティアップデートも半年遅れが多いんだよね。
まぁ半年遅れでも出ればいいけど。
SB003SH、2.2から2.3.4に上がって、特定操作でAndroid標準ブラウザが100%クラッシュするバグも直るかなぁと期待してたのですが直りませんでした・・・そもそも機種を越えてCERT番号のような脆弱性リストが無い時点で対処されてるかどうか「運ゲーム」になる訳ですが。
# 結局VPN張って、VNCでPCから見るという結論に達した。
>SB003SH、2.2から2.3.4に上がって、>特定操作でAndroid標準ブラウザが100%クラッシュするバグも直るかなぁと期待してたのですが直りませんでした・・・
まず、それがバグと認識されてるかどうかがありますね。たとえばオリコンスタイルというサイトが一時期極端に重い作りになったことがあり、その契機でXperia SO-01Bでは開くだけで標準ブラウザがフリーズするようになりました。今は多少改善しています。こういうのだとサイトの問題だよな、とか。
>そもそも機種を越えてCERT番号のような脆弱性リストが無い時点で対処されてるかどうか「運ゲ
> 一般にDOS攻撃の対象となるサーバー側でなければ、> クラッシュするとしてもそこでセキュリティ上の脆弱性がなければ> それは単なるバグですからねぇ。
タブの復帰が無いので同時に開いてたのが全部失われるのですよね。単なるバグから「ユーザーの作成したデータを失う脆弱性。」といった認識になるまでまだまだ暫く掛かりそうです。
感覚的にはまだPCから5~10年前かなぁ。
> タブの復帰が無いので同時に開いてたのが全部失われるのですよね。
つまり、セキュリティ的な問題は孕んでいない単なるバグってことですね。
> 単なるバグから「ユーザーの作成したデータを失う脆弱性。」といった認識になるまでまだまだ暫く掛かりそうです。
そのためにはあなたの独特な「脆弱性」定義が一般化する必要がありそうですから、「まだまだ」「暫く」では圧倒的に足りないかと。
そういえばこの前エディタがクラッシュして保存前のテキストデータが消し飛んだけど、「脆弱性を見つけた!」ってIPAやCERTに連絡したほうがよいでしょうか?
> つまり、セキュリティ的な問題は孕んでいない単なるバグってことですね。死に方が未確認ですから本当に無害なバグなのかは不明ですけどね。
>> 単なるバグから「ユーザーの作成したデータを失う脆弱性。」といった認識になるまでまだまだ暫く掛かりそうです。>そのためにはあなたの独特な「脆弱性」定義が一般化する必要がありそうですから、「まだまだ」「暫く」では圧倒的に足りないかと。>そういえばこの前エディタがクラッシュして保存前のテキストデータが消し飛んだけど、>「脆弱性を見つけた!」ってIPAやCERTに連絡したほうがよいでしょうか?
特定のファイル入力で可能といった外部要素であればDoS脆弱性として届けても良いのでは?「ソフトウエア製品やウェブアプリケーションの本来の機能や性能を損なう原因となり得るもの」なのですから。可用性を脅かす意味で、十分に脆弱性です。
>死に方が未確認ですから本当に無害なバグなのかは不明ですけどね。
それは一見正常系に見える動作の範囲でも同じです。というか一見正常系に見える動作をするほうがもっと厄介です。「下手に動き続けるようなら落ちたほうがマシ」はスラドでは言うまでもありませんね。
ですので、「脆弱性がある」の証明は、やはり「脆弱性がある」を以ってしか証明できません。
>特定のファイル入力で可能といった外部要素であればDoS脆弱性として届けても良いのでは?>「ソフトウエア製品やウェブアプリケーションの本来の機能や性能を損なう原因となり得るもの」なのですから。>可用性を脅かす
>でも実際はそのセキュリティアップデートも半年遅れが多いんだよね。
具体的にどのセキュリティアップデート(群)でしょう?「多い」と定量的な話のようですから、全体として数十〜百程度、その中で半年遅れ程度の群が過半数以上、で挙げてもらえますか?よろしくお願いします。
それらのリストを挙げていただいた上で、「これはまぁたしかに後回しでも良さそうだ」「これはもっと速攻でパッチ出さなきゃダメだったよなぁ」など論じましょう。
セキュリティFixが半年も遅れることってむしろあまりなくない?すぐ(大体2週間以内)に出るかメンテが完全に放棄されてずっと出ないかの二択が多いと思う
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
メジャーアップデートとマイナーアップデートは別 (スコア:0)
Androidは、WindowsやiOSと違い
基本となるGoogleの実装に対し、メーカーごとにセキュリティフィックスその他を組み込み
結果としてブランチのような状態で端末に導入されます。
ですので、メジャーアップデートがされないとしても
セキュリティフィックスを含むマイナーアップデートは続く機種が多く、
結果として、たとえばLINX SH-10BやIS01のように
「Androiid 2.1にはメジャーアップデートしない」
「だが、Android 1.6の状態で新しく発見されたセキュリティホールにはフィックスを提供」
などの状態になっている機種が多くのが現状です。
ですので、
>しかし実際にはOSアップグレードやサポートパッチに対応した方が
>ユーザの信頼を得られることは明かであり、将来の買い替えにも繋がるはずであるとDeGusta氏は言う。
の
「サポートパッチ」については、少なくとも国内でのキャリア販売モデルの実態には即していません。
Re:メジャーアップデートとマイナーアップデートは別 (スコア:0)
でも実際はそのセキュリティアップデートも半年遅れが多いんだよね。
まぁ半年遅れでも出ればいいけど。
Re:メジャーアップデートとマイナーアップデートは別 (スコア:1)
SB003SH、2.2から2.3.4に上がって、特定操作でAndroid標準ブラウザが100%クラッシュするバグも直るかなぁと期待してたのですが直りませんでした・・・
そもそも機種を越えてCERT番号のような脆弱性リストが無い時点で対処されてるかどうか「運ゲーム」になる訳ですが。
# 結局VPN張って、VNCでPCから見るという結論に達した。
Re: (スコア:0)
>SB003SH、2.2から2.3.4に上がって、
>特定操作でAndroid標準ブラウザが100%クラッシュするバグも直るかなぁと期待してたのですが直りませんでした・・・
まず、それがバグと認識されてるかどうかがありますね。
たとえばオリコンスタイルというサイトが一時期極端に重い作りになったことがあり、
その契機でXperia SO-01Bでは開くだけで標準ブラウザがフリーズするようになりました。
今は多少改善しています。こういうのだとサイトの問題だよな、とか。
>そもそも機種を越えてCERT番号のような脆弱性リストが無い時点で対処されてるかどうか「運ゲ
Re:メジャーアップデートとマイナーアップデートは別 (スコア:1)
> 一般にDOS攻撃の対象となるサーバー側でなければ、
> クラッシュするとしてもそこでセキュリティ上の脆弱性がなければ
> それは単なるバグですからねぇ。
タブの復帰が無いので同時に開いてたのが全部失われるのですよね。
単なるバグから「ユーザーの作成したデータを失う脆弱性。」といった認識になるまでまだまだ暫く掛かりそうです。
感覚的にはまだPCから5~10年前かなぁ。
Re: (スコア:0)
> タブの復帰が無いので同時に開いてたのが全部失われるのですよね。
つまり、セキュリティ的な問題は孕んでいない単なるバグってことですね。
> 単なるバグから「ユーザーの作成したデータを失う脆弱性。」といった認識になるまでまだまだ暫く掛かりそうです。
そのためにはあなたの独特な「脆弱性」定義が一般化する必要がありそうですから、「まだまだ」「暫く」では圧倒的に足りないかと。
そういえばこの前エディタがクラッシュして保存前のテキストデータが消し飛んだけど、
「脆弱性を見つけた!」ってIPAやCERTに連絡したほうがよいでしょうか?
Re:メジャーアップデートとマイナーアップデートは別 (スコア:1)
> つまり、セキュリティ的な問題は孕んでいない単なるバグってことですね。
死に方が未確認ですから本当に無害なバグなのかは不明ですけどね。
>> 単なるバグから「ユーザーの作成したデータを失う脆弱性。」といった認識になるまでまだまだ暫く掛かりそうです。
>そのためにはあなたの独特な「脆弱性」定義が一般化する必要がありそうですから、「まだまだ」「暫く」では圧倒的に足りないかと。
>そういえばこの前エディタがクラッシュして保存前のテキストデータが消し飛んだけど、
>「脆弱性を見つけた!」ってIPAやCERTに連絡したほうがよいでしょうか?
特定のファイル入力で可能といった外部要素であればDoS脆弱性として届けても良いのでは?
「ソフトウエア製品やウェブアプリケーションの本来の機能や性能を損なう原因となり得るもの」なのですから。
可用性を脅かす意味で、十分に脆弱性です。
Re: (スコア:0)
>死に方が未確認ですから本当に無害なバグなのかは不明ですけどね。
それは一見正常系に見える動作の範囲でも同じです。
というか一見正常系に見える動作をするほうがもっと厄介です。
「下手に動き続けるようなら落ちたほうがマシ」はスラドでは言うまでもありませんね。
ですので、「脆弱性がある」の証明は、やはり「脆弱性がある」を以ってしか証明できません。
>特定のファイル入力で可能といった外部要素であればDoS脆弱性として届けても良いのでは?
>「ソフトウエア製品やウェブアプリケーションの本来の機能や性能を損なう原因となり得るもの」なのですから。
>可用性を脅かす
Re: (スコア:0)
>でも実際はそのセキュリティアップデートも半年遅れが多いんだよね。
具体的にどのセキュリティアップデート(群)でしょう?
「多い」と定量的な話のようですから、
全体として数十〜百程度、
その中で半年遅れ程度の群が過半数以上、で挙げてもらえますか?
よろしくお願いします。
それらのリストを挙げていただいた上で、
「これはまぁたしかに後回しでも良さそうだ」
「これはもっと速攻でパッチ出さなきゃダメだったよなぁ」
など論じましょう。
Re: (スコア:0)
セキュリティFixが半年も遅れることってむしろあまりなくない?
すぐ(大体2週間以内)に出るかメンテが完全に放棄されてずっと出ないかの二択が多いと思う