パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

iOSのアプリ内課金における課金回避ハック、Mac向けアプリでも同種の穴が見つかる」記事へのコメント

  • つまり、それ以前のバージョンには、まだ穴があるってこと?

    • by Anonymous Coward

      そもそも「修正」にはアプリ側の対応も必要みたいなんだけどそれを書かないってどうなの? >タレ

      • by Anonymous Coward

        >そもそも「修正」にはアプリ側の対応も必要みたいなんだけどそれを書かないってどうなの? >タレ

        課金・決済機能はOSやミドルウェアの話であって、アプリはそれに乗ってるだけです。
        あまつさえAppleはApple自身の課金プラットフォームを使うよう独裁を振るっていますしね。

        なので、
        「決済・課金の問題が、OSやミドルウェアの課金プラットフォームの範疇を越えて
         アプリも修正しないと回避できないところまで広がっている」のは論外どころの話ではなく、
        Appleの責任でバッサリ切って捨てていい以外の何者でもありません。

        たとえば有料の動画配信サイトに動画コンテンツを提供している会社

        • by Anonymous Coward

          あなたはAppleのことが何もわかっていませんね。
          そんな生やさしいレベルじゃなくて「お前らが自前で認証サーバ立ててAppleの課金サーバーとの通信を中継しろ」と言ってます(本当)。
          あなたの言う「まともな」課金システムだけ相手していたいなら一生ガラパゴスに閉じこもっててください割とマジで。

          • by Anonymous Coward on 2012年07月26日 11時12分 (#2200293)

            私の英語力もかなり低いですが、自前で認証サーバを介してAppleの課金サーバに接続している場合も、直接Appleの課金サーバに接続している場合も、等しく影響を受けるって書かれているように読めますね。

            「Appleの課金サーバに直接接続している場合に攻撃が可能だった」
            「中継サーバ使ってる場合も中継サーバを対象に同じ攻撃が可能だけど、その場合中継サーバとのプロトコルには関知しないので自前で何とかしろ」
            「ライブラリ側の実装はiOS6まで放置する」
            「一時的な対策として、Appleの課金サーバに直接接続している場合の回避策はSSL、購入証明の内容、購入証明の署名、購入証明がユニークか否かをアプリで検証すること」
            「検証に必要なAPIとして非public APIを使用したサンプルコードをこのドキュメントに添付した。このAPIは他の用途に使ってはならない」

            がAppleによる説明です。

            親コメント

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...