アカウント名:
パスワード:
ほんとAndroidはズタボロだなOracleとのJava裁判 [cnet.com]とかも影響して抜本的対策もできないのかね
メジャーバージョンが2つも前のOSとか、脆弱性修正されなくても不思議じゃないだろ。(脆弱性って呼ぶほどのことでもない気がするが……)OSをアップデートすれば良いだけの話。
それにPCのブラウザでも、同じようなことが可能だぞ。本物のサイトの上に透明な偽の入力フォームを重ねて、入力内容を盗聴するって手法がある。
> OSをアップデートすれば良いだけの話。
アップデートがキャリアやメーカー提供されないから、したくてもできないのが大半。
Two-thirds of Android users are affected [softpedia.com] ... The bad news is that two-thirds of the Android ecosystem isstill running older versions of Android, where this clickjacking technique can be used without users ever suspecting a thing.
> それにPCのブラウザ
> アップデートがキャリアやメーカー提供されないから、したくてもできないのが大半。
じゃあandroidはなんも関係ないじゃん。アップデートを提供しないキャリアやメーカが危険なだけじゃん。
そんな危険な会社利用するの、やめたら?
> それは「PCも危険」という話で、Androidの危険性が減じるわけではない。
そうだね。WindowsもMacもiOSもUbuntuもandroidも、みんなみんな危険だね。
Androidは大いに関係あるね。
iOSもWindows mobileもWindowsもMacもUbuntuもOSメーカーがキャリアやデバイスメーカーに依存せずにセキュリティパッチを配布できる。
Androidだけがキャリアやデバイスメーカーの怠惰に阻まれて、脆弱性が放置される結果になっている。これはGoogleが設計したAndroidシステムとそのビジネスモデルの一番の欠陥だろう。
> Androidだけがキャリアやデバイスメーカーの怠惰に阻まれて、脆弱性が放置される結果になっている。
いや怠惰じゃなくて、わざわざカスタマイズして意図的に止めてるでしょ?意図的に止めてるんだから、android側をどんな仕組みにしようと、その仕組みを止められるだけじゃん。本当に怠惰だったら、カスタマイズしない=パッチも適用されるはず。
別に全部のメーカがパッチ提供してないわけじゃないのに、パッチ提供を拒否する一部の極悪メーカの所業を、androidに責任転嫁するのはどうなの……。
> これはGoogleが設計したAndro
バイナリを統一できていないのはAndroidの設計の問題では? だったら設計したGoogleに責任があるでしょう。元はといえば、特定のドライバのためだけにカーネルの再ビルドを要求するLinuxの設計の問題なんでしょうけど。Windowsみたいに、ちゃんとハードウェア固有部分とカーネルを疎結合できていれば、各社が別々のバイナリを使うなんてことは起きないはず。
そこまで要求されたら、もうGoogleとしては「嫌なら使うな」としか言いようがないのでは。別に直接的にお金とってるわけじゃないし……。
事情はどうあれカスタマイズしたのはメーカ側なんだから、その後のアップデートについても数年はメーカがサポートするべきじゃないかな。ちゃんとサポートしてるメーカもあるわけで、そこまで無理なことではないと思う。Googleだって1年半くらいしかアップデート保証してなかったと思うし。
まあでもWebViewコンポーネントをOSから別けたりしてるし、Googleも少しは改善させたいと思ってるんじゃないかな。大分先の話になるんだろうけれど。
> そこまで要求されたら、もうGoogleとしては「嫌なら使うな」としか言いようがないのでは。
言えないでしょ。みんなが使ってくれているおかげで、2.6兆円の利益を得ているんだから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
度重なる脆弱性 (スコア:-1)
ほんとAndroidはズタボロだな
OracleとのJava裁判 [cnet.com]とかも影響して抜本的対策もできないのかね
Re: (スコア:0)
メジャーバージョンが2つも前のOSとか、脆弱性修正されなくても不思議じゃないだろ。
(脆弱性って呼ぶほどのことでもない気がするが……)
OSをアップデートすれば良いだけの話。
それにPCのブラウザでも、同じようなことが可能だぞ。
本物のサイトの上に透明な偽の入力フォームを重ねて、入力内容を盗聴するって手法がある。
Re: (スコア:0)
> OSをアップデートすれば良いだけの話。
アップデートがキャリアやメーカー提供されないから、したくてもできないのが大半。
Two-thirds of Android users are affected [softpedia.com]
... The bad news is that two-thirds of the Android ecosystem is
still running older versions of Android, where this clickjacking
technique can be used without users ever suspecting a thing.
> それにPCのブラウザ
Re: (スコア:0)
> アップデートがキャリアやメーカー提供されないから、したくてもできないのが大半。
じゃあandroidはなんも関係ないじゃん。
アップデートを提供しないキャリアやメーカが危険なだけじゃん。
そんな危険な会社利用するの、やめたら?
> それは「PCも危険」という話で、Androidの危険性が減じるわけではない。
そうだね。
WindowsもMacもiOSもUbuntuもandroidも、みんなみんな危険だね。
Re: (スコア:0)
Androidは大いに関係あるね。
iOSもWindows mobileもWindowsもMacもUbuntuもOSメーカーがキャリアやデバイスメーカーに依存せずに
セキュリティパッチを配布できる。
Androidだけがキャリアやデバイスメーカーの怠惰に阻まれて、脆弱性が放置される結果になっている。
これはGoogleが設計したAndroidシステムとそのビジネスモデルの一番の欠陥だろう。
Re: (スコア:0)
> Androidだけがキャリアやデバイスメーカーの怠惰に阻まれて、脆弱性が放置される結果になっている。
いや怠惰じゃなくて、わざわざカスタマイズして意図的に止めてるでしょ?
意図的に止めてるんだから、android側をどんな仕組みにしようと、その仕組みを止められるだけじゃん。
本当に怠惰だったら、カスタマイズしない=パッチも適用されるはず。
別に全部のメーカがパッチ提供してないわけじゃないのに、パッチ提供を拒否する一部の極悪メーカの
所業を、androidに責任転嫁するのはどうなの……。
> これはGoogleが設計したAndro
Re: (スコア:1)
バイナリを統一できていないのはAndroidの設計の問題では? だったら設計したGoogleに責任があるでしょう。
元はといえば、特定のドライバのためだけにカーネルの再ビルドを要求するLinuxの設計の問題なんでしょうけど。
Windowsみたいに、ちゃんとハードウェア固有部分とカーネルを疎結合できていれば、各社が別々のバイナリを使うなんてことは起きないはず。
Re: (スコア:0)
そこまで要求されたら、もうGoogleとしては「嫌なら使うな」としか言いようがないのでは。
別に直接的にお金とってるわけじゃないし……。
事情はどうあれカスタマイズしたのはメーカ側なんだから、その後のアップデートについても
数年はメーカがサポートするべきじゃないかな。
ちゃんとサポートしてるメーカもあるわけで、そこまで無理なことではないと思う。
Googleだって1年半くらいしかアップデート保証してなかったと思うし。
まあでもWebViewコンポーネントをOSから別けたりしてるし、Googleも少しは改善させたいと
思ってるんじゃないかな。大分先の話になるんだろうけれど。
Re:度重なる脆弱性 (スコア:0)
> そこまで要求されたら、もうGoogleとしては「嫌なら使うな」としか言いようがないのでは。
言えないでしょ。みんなが使ってくれているおかげで、2.6兆円の利益を得ているんだから。