●全体
スマートフォンアプリのセキュアな開発設計について問われている
●ページ8[スマホアプリの概要]
スマートフォンからインターネット経由でWebAPを呼び出す、ごく一般的なWebアプリケーションである
表1 スマホアプリとWebAPの動作概要(案)
一目見て、”予約案内機能”に問題があるように見える
何が問題かというと、スマホアプリ内の個人アドレス帳の全件をWebAPに送信していてる点だ。
不要な個人情報をWebAPに送信することは個人情報保護の観点から問題があるのではないだろうか?
●ページ9何が問題かというと、スマホアプリ内の個人アドレス帳の全件をWebAPに送信していてる点だ。
不要な個人情報をWebAPに送信することは個人情報保護の観点から問題があるのではないだろうか?
[スマホアプリの利用者認証]
Bさんの考え1
固有の端末識別番号を用いて2回目以降の認証を行う
Bさんの考え1に対するC課長の見解
固有の端末識別番号は誰でも知りえる値であり、そのまま利用者認証に使うと他の端末で端末識別番号を利用されてサービスを不正利用される恐れがあるため、固有の端末識別番号を認証に使うことはできない
Bさんの考え2
固有の端末識別番号をもとにスマホアプリ内で鍵付きハッシュ関数で算出したハッシュ値を使う
Bさんの考え2に対するC課長の見解
スマホアプリをリバースエンジニアされると鍵を秘密にすることができないので、この方法を採用することはできない。一般的なPCサイトと同じ考えにするべき
アクセス
トータル
ランキング
