アカウント名:
パスワード:
つまり、それ以前のバージョンには、まだ穴があるってこと?
そもそも「修正」にはアプリ側の対応も必要みたいなんだけどそれを書かないってどうなの? >タレ
>そもそも「修正」にはアプリ側の対応も必要みたいなんだけどそれを書かないってどうなの? >タレ
課金・決済機能はOSやミドルウェアの話であって、アプリはそれに乗ってるだけです。あまつさえAppleはApple自身の課金プラットフォームを使うよう独裁を振るっていますしね。
なので、「決済・課金の問題が、OSやミドルウェアの課金プラットフォームの範疇を越えて アプリも修正しないと回避できないところまで広がっている」のは論外どころの話ではなく、Appleの責任でバッサリ切って捨てていい以外の何者でもありません。
たとえば有料の動画配信サイトに動画コンテンツを提供している会社
あなたはAppleのことが何もわかっていませんね。そんな生やさしいレベルじゃなくて「お前らが自前で認証サーバ立ててAppleの課金サーバーとの通信を中継しろ」と言ってます(本当)。あなたの言う「まともな」課金システムだけ相手していたいなら一生ガラパゴスに閉じこもっててください割とマジで。
私の英語力もかなり低いですが、自前で認証サーバを介してAppleの課金サーバに接続している場合も、直接Appleの課金サーバに接続している場合も、等しく影響を受けるって書かれているように読めますね。
「Appleの課金サーバに直接接続している場合に攻撃が可能だった」「中継サーバ使ってる場合も中継サーバを対象に同じ攻撃が可能だけど、その場合中継サーバとのプロトコルには関知しないので自前で何とかしろ」「ライブラリ側の実装はiOS6まで放置する」「一時的な対策として、Appleの課金サーバに直接接続している場合の回避策はSSL、購入証明の内容、購入証明の署名、購入証明がユニークか否かをアプリで検証すること」「検証に必要なAPIとして非public APIを使用したサンプルコードをこのドキュメントに添付した。このAPIは他の用途に使ってはならない」
がAppleによる説明です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
iOS 6では"完全"に修正? (スコア:0)
つまり、それ以前のバージョンには、まだ穴があるってこと?
Re: (スコア:0)
そもそも「修正」にはアプリ側の対応も必要みたいなんだけどそれを書かないってどうなの? >タレ
Re: (スコア:0)
>そもそも「修正」にはアプリ側の対応も必要みたいなんだけどそれを書かないってどうなの? >タレ
課金・決済機能はOSやミドルウェアの話であって、アプリはそれに乗ってるだけです。
あまつさえAppleはApple自身の課金プラットフォームを使うよう独裁を振るっていますしね。
なので、
「決済・課金の問題が、OSやミドルウェアの課金プラットフォームの範疇を越えて
アプリも修正しないと回避できないところまで広がっている」のは論外どころの話ではなく、
Appleの責任でバッサリ切って捨てていい以外の何者でもありません。
たとえば有料の動画配信サイトに動画コンテンツを提供している会社
Re: (スコア:0)
あなたはAppleのことが何もわかっていませんね。
そんな生やさしいレベルじゃなくて「お前らが自前で認証サーバ立ててAppleの課金サーバーとの通信を中継しろ」と言ってます(本当)。
あなたの言う「まともな」課金システムだけ相手していたいなら一生ガラパゴスに閉じこもっててください割とマジで。
Re:iOS 6では"完全"に修正? (スコア:0)
私の英語力もかなり低いですが、自前で認証サーバを介してAppleの課金サーバに接続している場合も、直接Appleの課金サーバに接続している場合も、等しく影響を受けるって書かれているように読めますね。
「Appleの課金サーバに直接接続している場合に攻撃が可能だった」
「中継サーバ使ってる場合も中継サーバを対象に同じ攻撃が可能だけど、その場合中継サーバとのプロトコルには関知しないので自前で何とかしろ」
「ライブラリ側の実装はiOS6まで放置する」
「一時的な対策として、Appleの課金サーバに直接接続している場合の回避策はSSL、購入証明の内容、購入証明の署名、購入証明がユニークか否かをアプリで検証すること」
「検証に必要なAPIとして非public APIを使用したサンプルコードをこのドキュメントに添付した。このAPIは他の用途に使ってはならない」
がAppleによる説明です。