アカウント名:
パスワード:
内部データの通信が必要な機能はぜんぶ止めような。
面倒でも全部手打ちでローカルのアドレス帳作成して、同期止めれば問題ないんじゃないかなー。
# アカウントの紐付けしないと動かない機能は使わない# 紐付けしなくても動くやつはローカルオンリーで使う
...ちがうん?
# AndroidはGoogleのアカウントとの紐付けしなくても、とりあえず使い初めはできた気がする# by Android 1.6 IDEOS
そうですね、Googleと同期させなければいいだけかと。
AndroidもExchangeと同期できるので、カレンダーやメールは自分のExchangeと同期させて使う手もあるかな。
標準のカレンダーやアドレス帳にデータ入れるだけで十分危険だという気もします。SDKとして用意されている方法でアプリから参照できてしまうわけですし。Androidの場合、そういう権限を持ったアプリを入れないようにすればほぼ大丈夫といえなくもないですが。「スマートフォンのアプリケーションを楽しみつつ」というからにはそうは行かないのでデータのほうを引きこもらせるしかない(独自に暗号化して保存するようなタイプのアプリを使う)くらいは必要かもしれません。
Androidの場合、そういう権限を持ったアプリを入れないようにすればほぼ大丈夫といえなくもないですが。
とは言うものの手持ちで使ってる003SHとかにはroot昇格可能なバグが有ったりするので・・・# 来週月曜に意図せず圏外になり通話・データ通信できなくなるバグを修正するパッチが来るらしいので序に直るかもしれませんが。root昇格されたらサンドボックスとか意味ないですしね。正直、パッチ来るのか直ったのかすらアナウンスが無い現状のAndroid搭載スマホにするの止めた方がとも思ったり。
iOSもCVEとか公開されててもっともマシっぽそうですが、肝心のアプリのサンドボックスがザル過ぎてアドレス帳アクセスをサイレントにアクセス可能だったりとプライバシー面では微妙です。
WP7も未知数とはいえ、バグが無いはずが無いだろうし、少なくともアンロックしてxap入れちゃうとアウトに。今後の実績次第かと。
結論:止めた方が・・・
あれ、003SHってGinger breakは既に塞がれてますよね?SHはローカル権限昇格系exploitはかなり早く塞ぐ方だと思いますが…各機種ごとのセキュリティパッチについての情報がまとまっていないとかサポートサイクルがよく分からないとかその辺は確かに問題です
その点に関してはiOSの方が明確ですね報告あっても(報告者が切れてイベントで晒す直前まで)長期放置されるとか、Appleは懸賞金制度がないので表で報告せずにアングラに流れてゼロデイ攻撃に繋がりやすいとか、その辺の問題はありますがそれ以前にプライバシーに関してAPI設計が論外すぎるのでこのトピでは除外か…
WP7についてはMSのセキュリティに対する取り組みや情報公開などが他よりはしっかりしているので3者の中では一番マシでしょうね本家で勧められるのも納得ですWindowsのようにシェアが他OSの20倍とかになると狙われる頻度的に厳しいですが、WP7は良くも悪くもそんな状態になる心配はしなくてよさそう…
あれ、003SHってGinger breakは既に塞がれてますよね?
SB003SH/SB005SH含むSHARP機は本当につい先日ドライバにバグ見つかって突破されてます。 [twitter.com]Exploitコードも公開済み。
# その内root取っても何も出来ないようにSE LinuxとかTOMOYOみたいなMACが必要になりそうですな。## 個人的にはTOMOYOが好きです。解りやすいので。
これは「既にrootを取っている状態からFlashをアンロック状態にする穴」なので、マルウェアが利用可能な「一般ユーザ権限アプリからのローカル権限昇格」とは全く別物でしょう。穴といえば穴ですが、少なくともHighly Critical扱いにはならないはず。所詮は「シャープが客から身を守る」部分にあいた穴。
AndroidにMACを入れるべきという意見については賛成しますけどね。ただアプリからの権限昇格を伴うexploitについてはASLRがないだの色々言われている割に意外と少ないので(結局問題児はWebKit…)、優先度からするとまず出ているパッチをしっかり端末に当てて行ってくれ、というのが先かな。
ごめんなさい、Twitterのリンク先を間違えました。脆弱性の具体的内容はこちらで、 [twitter.com] rootを一時的に取得するExploitはこちらです [twitter.com]
優先度からするとまず出ているパッチをしっかり端末に当てて行ってくれ、というのが先かな。
とはいえ、ドライバやメーカー固有の場所からやられる場合も有るのでその点も不安ですね。
公式は公式で何時まで経っても直らないPPTPで暗号化すると使い物にならないというセキュリティ的に駄目なバグが放置状態 [google.com]でうんにょりです。メーカーが個別にパッチしてれば使えますが、バックポートされてないみたいで。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
真にプライバシーを考えるなら (スコア:4, すばらしい洞察)
内部データの通信が必要な機能はぜんぶ止めような。
面倒でも全部手打ちでローカルのアドレス帳作成して、同期止めれば問題ないんじゃないかなー。
# アカウントの紐付けしないと動かない機能は使わない
# 紐付けしなくても動くやつはローカルオンリーで使う
...ちがうん?
# AndroidはGoogleのアカウントとの紐付けしなくても、とりあえず使い初めはできた気がする
# by Android 1.6 IDEOS
M-FalconSky (暑いか寒い)
Re: (スコア:1)
そうですね、Googleと同期させなければいいだけかと。
AndroidもExchangeと同期できるので、カレンダーやメールは自分の
Exchangeと同期させて使う手もあるかな。
Re: (スコア:1)
標準のカレンダーやアドレス帳にデータ入れるだけで十分危険だという気もします。
SDKとして用意されている方法でアプリから参照できてしまうわけですし。
Androidの場合、そういう権限を持ったアプリを入れないようにすればほぼ大丈夫といえなくもないですが。
「スマートフォンのアプリケーションを楽しみつつ」というからにはそうは行かないので
データのほうを引きこもらせるしかない(独自に暗号化して保存するようなタイプのアプリを使う)くらいは必要かもしれません。
Re: (スコア:1)
とは言うものの手持ちで使ってる003SHとかにはroot昇格可能なバグが有ったりするので・・・
# 来週月曜に意図せず圏外になり通話・データ通信できなくなるバグを修正するパッチが来るらしいので序に直るかもしれませんが。
root昇格されたらサンドボックスとか意味ないですしね。
正直、パッチ来るのか直ったのかすらアナウンスが無い現状のAndroid搭載スマホにするの止めた方がとも思ったり。
iOSもCVEとか公開されててもっともマシっぽそうですが、肝心のアプリのサンドボックスがザル過ぎてアドレス帳アクセスをサイレントにアクセス可能だったりとプライバシー面では微妙です。
WP7も未知数とはいえ、バグが無いはずが無いだろうし、少なくともアンロックしてxap入れちゃうとアウトに。
今後の実績次第かと。
結論:止めた方が・・・
Re: (スコア:0)
あれ、003SHってGinger breakは既に塞がれてますよね?
SHはローカル権限昇格系exploitはかなり早く塞ぐ方だと思いますが…
各機種ごとのセキュリティパッチについての情報がまとまっていないとかサポートサイクルがよく分からないとかその辺は確かに問題です
その点に関してはiOSの方が明確ですね
報告あっても(報告者が切れてイベントで晒す直前まで)長期放置されるとか、Appleは懸賞金制度がないので表で報告せずにアングラに流れてゼロデイ攻撃に繋がりやすいとか、その辺の問題はありますが
それ以前にプライバシーに関してAPI設計が論外すぎるのでこのトピでは除外か…
WP7についてはMSのセキュリティに対する取り組みや情報公開などが他よりはしっかりしているので3者の中では一番マシでしょうね
本家で勧められるのも納得です
Windowsのようにシェアが他OSの20倍とかになると狙われる頻度的に厳しいですが、WP7は良くも悪くもそんな状態になる心配はしなくてよさそう…
Re: (スコア:1)
SB003SH/SB005SH含むSHARP機は本当につい先日ドライバにバグ見つかって突破されてます。 [twitter.com]
Exploitコードも公開済み。
# その内root取っても何も出来ないようにSE LinuxとかTOMOYOみたいなMACが必要になりそうですな。
## 個人的にはTOMOYOが好きです。解りやすいので。
Re: (スコア:0)
これは「既にrootを取っている状態からFlashをアンロック状態にする穴」なので、マルウェアが利用可能な「一般ユーザ権限アプリからのローカル権限昇格」とは全く別物でしょう。
穴といえば穴ですが、少なくともHighly Critical扱いにはならないはず。所詮は「シャープが客から身を守る」部分にあいた穴。
AndroidにMACを入れるべきという意見については賛成しますけどね。
ただアプリからの権限昇格を伴うexploitについてはASLRがないだの色々言われている割に意外と少ないので(結局問題児はWebKit…)、優先度からするとまず出ているパッチをしっかり端末に当てて行ってくれ、というのが先かな。
Re:真にプライバシーを考えるなら (スコア:1)
ごめんなさい、Twitterのリンク先を間違えました。
脆弱性の具体的内容はこちらで、 [twitter.com] rootを一時的に取得するExploitはこちらです [twitter.com]
とはいえ、ドライバやメーカー固有の場所からやられる場合も有るのでその点も不安ですね。
公式は公式で何時まで経っても直らないPPTPで暗号化すると使い物にならないというセキュリティ的に駄目なバグが放置状態 [google.com]でうんにょりです。
メーカーが個別にパッチしてれば使えますが、バックポートされてないみたいで。