アカウント名:
パスワード:
開発者が一番の阿呆ですが、AppleもなぜXCodeに署名して検証しない? インストーラーにリパッケージしてばれないのはおかしいでしょう。 なぜ中国かそれなりに近い国にサーバーを置かない? こんな事ができるなら何のためにXCodeに限定する?
二番目に阿呆なのはAppleですね。
なんでAppleがXCodeに署名してないと思ったの?
署名されて検証されているなら、 「このXCodeには未署名のファイルが含まれています。あなたがインストールしたものですか。」と警告されたり、 インストールの段階でAppleによって署名していない事にすぐに気づくからです。 署名していなくとも警告されず、不正に改造されていても気付かない事があり得るでは(ストーリー参照)検証されているとは言えません。
なんで中国のユーザーが警告を無視したり警告を回避する設定にしていないと思ったの?
なぜなら、
Appleのサーバーへの接続速度が遅いため、他のソースからのダウンロード
であって、不正なアドインを利用した開発者によってマルウェアが普及したとか、構築済みのバージョンを利用して問題が発生したとかではないからです。 さらに言えばAppleはiPhoneアプリにXCodeを利用したものしか認めていないわけですから、そもそも警告を回避や無視できる時点でおかしいわけです。
適切な署名・検証あるいは十分強力なハッシュによる検証がなされているならどのような経路を用いても問題になりません。 アップデータをbittorrentで配布するゲームやディストリビューションもありますし、Windows Updateでもそのような技術が最近適用されました。 今回の件では被害を受けるのは開発者は二次的で第一にはユーザーなのですからそれなりに性悪説で設計する必要がある訳です。それはそこまで難しい話ではありません。
> 他のソースからのダウンロード
したバイナリにこっそり不正なコードが混入されていたと書いているのですが。それをGatekeeperが止められなかったということは、ダウンロードしたユーザーが警告を無視したか無効にしていたということにほかなりません。
> AppleはiPhoneアプリにXCodeを利用したものしか認めていないわけですから、
Appleのコードレビューで検出できなかったと書いているのですが。あとまさかとは思いますが、iOSアプリはiOS上でセルフ開発するのだと思っていませんか?
デタラメな妄想ふくらませる前にせめてタレコミくらい読まれてはいかがですか?
何を言ってるんでしょうか。 開発者は正規のものと同等だと思ったからそのXCodeで開発したわけです。 いいですか。そんなに難しい話はしてません。
適切に署名が機能している場合。 XCode本体に手を加えられていたら警告される訳です。そこでXCodeに手を加えられていたと気付く。どんなアホでもその時に利用をやめるでしょう。 さらに何かのファイルが加えられていた場合。XCode本体なりOSがその旨を警告する。タレコミを読んでください。開発者はアドインを入れる手間を省くために別ソースから拾ったわけではない。よっておかしいと気付く。
ではなぜ気付かなかったのか。 一つの可能性は開発者が警告を無視したというもの。 正規以外のソースからダウンロードしたから何らかの警告が出るからそれを無視する。そこまでは良いでしょう。 ではなぜXCodeに手を加えられていた旨の警告が出ていたのにそれを無視したのか。筋が通りません。 ですから、ダウンロードの経路が不正である旨の警告をしていても、署名されていない旨の警告はしていなかったという事ではありませんか。 Windowsで簡単に言えば、「インターネットから取得したファイルです」の警告をするが管理者権限のダイアログを出さないようなもの。(正確ではありません。) もっとありそうなパターンは不正な改造に対して全く無防備な設計になっていること(タレコミにはそう書かれています)。あるいは、通常と少し異なる手段を取る場合にはすぐに警告を出して、深刻な問題では既に警告したからと何の警告もしないパターン。 どちらもアホな設計である事は間違いありません。
そもそもXCodeはオープンソースではないわけで、この手の場合には本体にはまず手を加えられていない。 XCode自体に最低限の自己検証機能が備えられていれば相当手間をかけなければこういうことはできないわけです。 それだけで防げたことだと私は思います。
> XCode自体に最低限の自己検証機能が備えられていれば相当手間をかけなければこういうことはできないわけです。> それだけで防げたことだと私は思います。
ユーザの「とにかく俺は今ダウンロードしてきたこの(自称)XCodeが使いたいんだよ」という意思がそんなんで防げるわけないでしょw
そんなアホなデベロッパーが存在するのが信じられないのかな。でも現実なんだなぁ。
開発者は正規のものと同等だと思ったからそのXCodeで開発したわけです。
たぶんその前提認識がズレている。開発さえできれば正規版でなくてもいいと思っている(ひょっとしたらXcodeですらなくてもいいと思ってるかも)開発者を想定しているからどんな警告だろうと無視された可能性を言っているんだよ。
偽Xcodeを作成した人(あるいは組織)にはマルウェアを仕込みたいという「相当手間をかけて」でもやりたい強烈な動機があったわけでしょ?普通に考えればその手の警告はバイパスする様に手を加えられていると思いますが。
> XCode本体に手を加えられていたら警告される訳です。そこでXCodeに手を加えられていたと気付く。どんなアホでもその時に利用をやめるでしょう。
だったらいいのにねぇ…
ほんとそう思います。それ以上のアホはゴロゴロしてますからね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
署名は? なぜ国内にサーバーを置かない? (スコア:0)
開発者が一番の阿呆ですが、AppleもなぜXCodeに署名して検証しない?
インストーラーにリパッケージしてばれないのはおかしいでしょう。
なぜ中国かそれなりに近い国にサーバーを置かない?
こんな事ができるなら何のためにXCodeに限定する?
二番目に阿呆なのはAppleですね。
Re: (スコア:0)
なんでAppleがXCodeに署名してないと思ったの?
Re: (スコア:0)
署名されて検証されているなら、
「このXCodeには未署名のファイルが含まれています。あなたがインストールしたものですか。」と警告されたり、
インストールの段階でAppleによって署名していない事にすぐに気づくからです。
署名していなくとも警告されず、不正に改造されていても気付かない事があり得るでは(ストーリー参照)検証されているとは言えません。
Re: (スコア:0)
なんで中国のユーザーが警告を無視したり警告を回避する設定にしていないと思ったの?
Re: (スコア:1)
なぜなら、
Appleのサーバーへの接続速度が遅いため、他のソースからのダウンロード
であって、不正なアドインを利用した開発者によってマルウェアが普及したとか、構築済みのバージョンを利用して問題が発生したとかではないからです。
さらに言えばAppleはiPhoneアプリにXCodeを利用したものしか認めていないわけですから、そもそも警告を回避や無視できる時点でおかしいわけです。
適切な署名・検証あるいは十分強力なハッシュによる検証がなされているならどのような経路を用いても問題になりません。
アップデータをbittorrentで配布するゲームやディストリビューションもありますし、Windows Updateでもそのような技術が最近適用されました。
今回の件では被害を受けるのは開発者は二次的で第一にはユーザーなのですからそれなりに性悪説で設計する必要がある訳です。それはそこまで難しい話ではありません。
Re: (スコア:0)
> 他のソースからのダウンロード
したバイナリにこっそり不正なコードが混入されていたと書いているのですが。それをGatekeeperが止められなかったということは、ダウンロードしたユーザーが警告を無視したか無効にしていたということにほかなりません。
> AppleはiPhoneアプリにXCodeを利用したものしか認めていないわけですから、
Appleのコードレビューで検出できなかったと書いているのですが。あとまさかとは思いますが、iOSアプリはiOS上でセルフ開発するのだと思っていませんか?
デタラメな妄想ふくらませる前にせめてタレコミくらい読まれてはいかがですか?
Re:署名は? なぜ国内にサーバーを置かない? (スコア:0)
何を言ってるんでしょうか。
開発者は正規のものと同等だと思ったからそのXCodeで開発したわけです。
いいですか。そんなに難しい話はしてません。
適切に署名が機能している場合。
XCode本体に手を加えられていたら警告される訳です。そこでXCodeに手を加えられていたと気付く。どんなアホでもその時に利用をやめるでしょう。
さらに何かのファイルが加えられていた場合。XCode本体なりOSがその旨を警告する。タレコミを読んでください。開発者はアドインを入れる手間を省くために別ソースから拾ったわけではない。よっておかしいと気付く。
ではなぜ気付かなかったのか。
一つの可能性は開発者が警告を無視したというもの。
正規以外のソースからダウンロードしたから何らかの警告が出るからそれを無視する。そこまでは良いでしょう。
ではなぜXCodeに手を加えられていた旨の警告が出ていたのにそれを無視したのか。筋が通りません。
ですから、ダウンロードの経路が不正である旨の警告をしていても、署名されていない旨の警告はしていなかったという事ではありませんか。
Windowsで簡単に言えば、「インターネットから取得したファイルです」の警告をするが管理者権限のダイアログを出さないようなもの。(正確ではありません。)
もっとありそうなパターンは不正な改造に対して全く無防備な設計になっていること(タレコミにはそう書かれています)。あるいは、通常と少し異なる手段を取る場合にはすぐに警告を出して、深刻な問題では既に警告したからと何の警告もしないパターン。
どちらもアホな設計である事は間違いありません。
そもそもXCodeはオープンソースではないわけで、この手の場合には本体にはまず手を加えられていない。
XCode自体に最低限の自己検証機能が備えられていれば相当手間をかけなければこういうことはできないわけです。
それだけで防げたことだと私は思います。
Re: (スコア:0)
> XCode自体に最低限の自己検証機能が備えられていれば相当手間をかけなければこういうことはできないわけです。
> それだけで防げたことだと私は思います。
ユーザの「とにかく俺は今ダウンロードしてきたこの(自称)XCodeが使いたいんだよ」という
意思がそんなんで防げるわけないでしょw
そんなアホなデベロッパーが存在するのが信じられないのかな。でも現実なんだなぁ。
Re: (スコア:0)
たぶんその前提認識がズレている。
開発さえできれば正規版でなくてもいいと思っている(ひょっとしたらXcodeですらなくてもいいと思ってるかも)開発者を想定しているからどんな警告だろうと無視された可能性を言っているんだよ。
Re: (スコア:0)
偽Xcodeを作成した人(あるいは組織)にはマルウェアを仕込みたいという「相当手間をかけて」でも
やりたい強烈な動機があったわけでしょ?
普通に考えればその手の警告はバイパスする様に手を加えられていると思いますが。
Re: (スコア:0)
> XCode本体に手を加えられていたら警告される訳です。そこでXCodeに手を加えられていたと気付く。どんなアホでもその時に利用をやめるでしょう。
だったらいいのにねぇ…
Re: (スコア:0)
ほんとそう思います。それ以上のアホはゴロゴロしてますからね。