HOME > 開発者向けBLOG > Sencha Blog >  ネイティブパッケージャーに関連したセキュリティリスク

Technology Note 開発者向けBLOG

Sencha Blog

ネイティブパッケージャーに関連したセキュリティリスク

こんにちは、ゼノフィnakamuraです。

この記事は、US Sencha社ブログ Security Risks Associated with Native Packagers を翻訳したものです。

ネイティブパッケージソリューションは組織や会社がウェブ技術を有効活用し、スマートモバイルデバイスのためのクロスプラットフォームアプリケーションを開発できるようにしました。しかし、こういったソリューションは未だにある欠点を持っています。— 全ての app リソースが暗号化されずにパッケージ化されているということです。パッケージ化されたアプリの実行可能なバイナリーをコピーすることは非常に容易であり、そういったバイナリを解凍し、機密性の高いリソース (ソースコードを含んだ )を抜き取ることもできます。アプリケーションのローカルデータもデフォルトでは暗号化されずにストアされています。

ここ数年で、夜のニュースで大きなセキュリティ違反についてのニュースをきかなかった月はありません。どのセキュリティ問題も同じ原因が関連しているわけではありませんが、ネイティブパッケージソリューションは潜在的にも所有権のあるソースコードや機密データを不正利用者に晒すリスクを高めています。以下のビデオをチェックすれば、いかに簡単にパッケージ化されたバイナリからアプリリソースを取り戻すことができるかわかります。

アプリケーション開発はここ数年で大きく進化を遂げています。アプリケーションが基本的にサーバーサイドのものであり、ライトウェイトなクライアントサイドコンポーネントを持っている時代はもう過ぎ去りました。多くの今日のアプリは、UI仕様を含んだ豊富なクライアントサイドインターフェース、アプリケーションとビジネスロジック、バックエンドの統合に関してクラウドベースのAPIへ定期的にコールを行うもので構成されています。このプログラミングモデルにより、よりインタラクティブ性やパフォーマンスが重視されるアプリケーションの演算ロードをサーバーからクライアント側に移行させることができます。

しかし、それと同時にアプリケーションのコードとデータがクライアントサイドで生きているということになります。ハイブリッドアプリの開発者であれば、この移行は問題となります。魅力的なアプリケーションを開発するというのは、多大なリソースや時間をデザイン、コード、テスト、メンテナンスに投資することで可能になります。ネイティブパッケージャーを使用することで、開発者はそういった投資資産を盗用、リバースエンジニアリング、競合相手への流出に繋がるリスクがあります。

対応策として、コードを最小化したり難読化することで、存在し得る外敵から抽出されたソースコードを解りづらくさえることはできますが、人間が読めるレベルではあり、リスクがあることには変わりはありません。

また、ネイティブパッケージャーは購入したままの状態では、ローカルにストアされたデータを守るためになにもしてくれません。開発者はデータ暗号化プラグインを開発し、ローカルデータの機密性を守らなければなりません。こういった余計な開発はプロジェクトの進行を遅らせ、このアプリの生涯で、様々なデバイスプラットフォーム間でのセキュリティ構成を管理するのはさらにコストが嵩んでしまいます。

Sencha Space を使うことで、開発者はソースコードを危険にさらすことなく、ウェブ技術の全ての利点を生かしてアプリケーションを開発することができます。

今日まで、開発者はネイティブパッケージャーが提供する利便性のためにこれらの問題点を受け入れていました。しかし、Sencha Space は代わりのソリューションを提供します。ソースコードを含む全てのアプリケーションリソースのローカルデータの暗号化を提供する、管理されたウェブアプリケーション環境です。Sencha Space を使うことで、開発者はソースコードを危険にさらすことなく、ウェブ技術の全ての利点を生かしてアプリケーションを開発することができます。Sencha Space は暗号化されたファイルシステムと暗号化された SQL データベース両方を提供するため、開発者はセキュリティの仕組みを作ることに時間をさいたり、プレインテキストソースコードが外部の人間に晒される心配もなく、イノベーティブなアプリケーションを開発することに力を注ぐことができます。

Sencha Space については詳しくは、 http://www.sencha.com/space まで。

また、無料で登録することもできます。 https://manage.space.sencha.com

より安いコストで複数のデバイスのためにより良いアプリケーションを作りましょう。Senchacon 2015 で学ぶこともできます。ぜひご参加をお待ちして居ります。

PAGETOP