パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

iOSのアプリ内課金における課金回避ハック、Mac向けアプリでも同種の穴が見つかる」記事へのコメント

  • つまり、それ以前のバージョンには、まだ穴があるってこと?

    • by Anonymous Coward

      そもそも「修正」にはアプリ側の対応も必要みたいなんだけどそれを書かないってどうなの? >タレ

      • by Anonymous Coward

        >そもそも「修正」にはアプリ側の対応も必要みたいなんだけどそれを書かないってどうなの? >タレ

        課金・決済機能はOSやミドルウェアの話であって、アプリはそれに乗ってるだけです。
        あまつさえAppleはApple自身の課金プラットフォームを使うよう独裁を振るっていますしね。

        なので、
        「決済・課金の問題が、OSやミドルウェアの課金プラットフォームの範疇を越えて
         アプリも修正しないと回避できないところまで広がっている」のは論外どころの話ではなく、
        Appleの責任でバッサリ切って捨てていい以外の何者でもありません。

        たとえば有料の動画配信サイトに動画コンテンツを提供している会社

        • by Anonymous Coward on 2012年07月24日 16時18分 (#2199192)

          あなたはAppleのことが何もわかっていませんね。
          そんな生やさしいレベルじゃなくて「お前らが自前で認証サーバ立ててAppleの課金サーバーとの通信を中継しろ」と言ってます(本当)。
          あなたの言う「まともな」課金システムだけ相手していたいなら一生ガラパゴスに閉じこもっててください割とマジで。

          親コメント
          • by Anonymous Coward

            何でそこまでしてAppleとかいうクソガラパゴスにわざわざ囚われなきゃいけないんでしょうね。
            心の底から分からない。

            • by Anonymous Coward

              Appleに限った話じゃねえよ。アホ。

              • by Anonymous Coward

                >Appleに限った話じゃねえよ。アホ。

                Apple、Google、MSなどのレベルの話で言えば、
                アプリ内のコンテンツ支払いも含めてアプリ内課金システムをとにかくウチに独占させろ、
                他の利用は許さない、
                を強要するのはAppleだけじゃないでしょうか。

                ※ この辺はAppleとGoogleしかしらないのでMSやMS以外の同レベルの何かがあれば指摘ください。

                今回の場合そこまで言っといてそれが腐ってた上、
                回避したけりゃアプリ開発者側がコストを負え、とか
                ジャイアンの「俺のものは俺のもの、お前のものは俺のもの」すら超えたロジックが
                盛大な笑いと涙と怒りを呼んでるわけです。

              • by Anonymous Coward

                Googleも今やってますよ。

          • by Anonymous Coward

            私の英語力もかなり低いですが、自前で認証サーバを介してAppleの課金サーバに接続している場合も、直接Appleの課金サーバに接続している場合も、等しく影響を受けるって書かれているように読めますね。

            「Appleの課金サーバに直接接続している場合に攻撃が可能だった」
            「中継サーバ使ってる場合も中継サーバを対象に同じ攻撃が可能だけど、その場合中継サーバとのプロトコルには関知しないので自前で何とかしろ」
            「ライブラリ側の実装はiOS6まで放置する」
            「一時的な対策として、Appleの課金サーバに直接接続している場合の回避策はSSL、購入証明の内容、購入証明の署名、購入証明がユニークか否かをアプリで検証すること」
            「検証に必要なAPIとして非public APIを使用したサンプルコードをこのドキュメントに添付した。このAPIは他の用途に使ってはならない」

            がAppleによる説明です。

身近な人の偉大さは半減する -- あるアレゲ人

処理中...