アカウント名:
パスワード:
つまり、それ以前のバージョンには、まだ穴があるってこと?
そもそも「修正」にはアプリ側の対応も必要みたいなんだけどそれを書かないってどうなの? >タレ
>そもそも「修正」にはアプリ側の対応も必要みたいなんだけどそれを書かないってどうなの? >タレ
課金・決済機能はOSやミドルウェアの話であって、アプリはそれに乗ってるだけです。あまつさえAppleはApple自身の課金プラットフォームを使うよう独裁を振るっていますしね。
なので、「決済・課金の問題が、OSやミドルウェアの課金プラットフォームの範疇を越えて アプリも修正しないと回避できないところまで広がっている」のは論外どころの話ではなく、Appleの責任でバッサリ切って捨てていい以外の何者でもありません。
たとえば有料の動画配信サイトに動画コンテンツを提供している会社
あなたはAppleのことが何もわかっていませんね。そんな生やさしいレベルじゃなくて「お前らが自前で認証サーバ立ててAppleの課金サーバーとの通信を中継しろ」と言ってます(本当)。あなたの言う「まともな」課金システムだけ相手していたいなら一生ガラパゴスに閉じこもっててください割とマジで。
何でそこまでしてAppleとかいうクソガラパゴスにわざわざ囚われなきゃいけないんでしょうね。心の底から分からない。
Appleに限った話じゃねえよ。アホ。
>Appleに限った話じゃねえよ。アホ。
Apple、Google、MSなどのレベルの話で言えば、アプリ内のコンテンツ支払いも含めてアプリ内課金システムをとにかくウチに独占させろ、他の利用は許さない、を強要するのはAppleだけじゃないでしょうか。
※ この辺はAppleとGoogleしかしらないのでMSやMS以外の同レベルの何かがあれば指摘ください。
今回の場合そこまで言っといてそれが腐ってた上、回避したけりゃアプリ開発者側がコストを負え、とかジャイアンの「俺のものは俺のもの、お前のものは俺のもの」すら超えたロジックが盛大な笑いと涙と怒りを呼んでるわけです。
Googleも今やってますよ。
私の英語力もかなり低いですが、自前で認証サーバを介してAppleの課金サーバに接続している場合も、直接Appleの課金サーバに接続している場合も、等しく影響を受けるって書かれているように読めますね。
「Appleの課金サーバに直接接続している場合に攻撃が可能だった」「中継サーバ使ってる場合も中継サーバを対象に同じ攻撃が可能だけど、その場合中継サーバとのプロトコルには関知しないので自前で何とかしろ」「ライブラリ側の実装はiOS6まで放置する」「一時的な対策として、Appleの課金サーバに直接接続している場合の回避策はSSL、購入証明の内容、購入証明の署名、購入証明がユニークか否かをアプリで検証すること」「検証に必要なAPIとして非public APIを使用したサンプルコードをこのドキュメントに添付した。このAPIは他の用途に使ってはならない」
がAppleによる説明です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
iOS 6では"完全"に修正? (スコア:0)
つまり、それ以前のバージョンには、まだ穴があるってこと?
Re: (スコア:0)
そもそも「修正」にはアプリ側の対応も必要みたいなんだけどそれを書かないってどうなの? >タレ
Re: (スコア:0)
>そもそも「修正」にはアプリ側の対応も必要みたいなんだけどそれを書かないってどうなの? >タレ
課金・決済機能はOSやミドルウェアの話であって、アプリはそれに乗ってるだけです。
あまつさえAppleはApple自身の課金プラットフォームを使うよう独裁を振るっていますしね。
なので、
「決済・課金の問題が、OSやミドルウェアの課金プラットフォームの範疇を越えて
アプリも修正しないと回避できないところまで広がっている」のは論外どころの話ではなく、
Appleの責任でバッサリ切って捨てていい以外の何者でもありません。
たとえば有料の動画配信サイトに動画コンテンツを提供している会社
Re:iOS 6では"完全"に修正? (スコア:0)
あなたはAppleのことが何もわかっていませんね。
そんな生やさしいレベルじゃなくて「お前らが自前で認証サーバ立ててAppleの課金サーバーとの通信を中継しろ」と言ってます(本当)。
あなたの言う「まともな」課金システムだけ相手していたいなら一生ガラパゴスに閉じこもっててください割とマジで。
Re: (スコア:0)
何でそこまでしてAppleとかいうクソガラパゴスにわざわざ囚われなきゃいけないんでしょうね。
心の底から分からない。
Re: (スコア:0)
Appleに限った話じゃねえよ。アホ。
Re: (スコア:0)
>Appleに限った話じゃねえよ。アホ。
Apple、Google、MSなどのレベルの話で言えば、
アプリ内のコンテンツ支払いも含めてアプリ内課金システムをとにかくウチに独占させろ、
他の利用は許さない、
を強要するのはAppleだけじゃないでしょうか。
※ この辺はAppleとGoogleしかしらないのでMSやMS以外の同レベルの何かがあれば指摘ください。
今回の場合そこまで言っといてそれが腐ってた上、
回避したけりゃアプリ開発者側がコストを負え、とか
ジャイアンの「俺のものは俺のもの、お前のものは俺のもの」すら超えたロジックが
盛大な笑いと涙と怒りを呼んでるわけです。
Re: (スコア:0)
Googleも今やってますよ。
Re: (スコア:0)
私の英語力もかなり低いですが、自前で認証サーバを介してAppleの課金サーバに接続している場合も、直接Appleの課金サーバに接続している場合も、等しく影響を受けるって書かれているように読めますね。
「Appleの課金サーバに直接接続している場合に攻撃が可能だった」
「中継サーバ使ってる場合も中継サーバを対象に同じ攻撃が可能だけど、その場合中継サーバとのプロトコルには関知しないので自前で何とかしろ」
「ライブラリ側の実装はiOS6まで放置する」
「一時的な対策として、Appleの課金サーバに直接接続している場合の回避策はSSL、購入証明の内容、購入証明の署名、購入証明がユニークか否かをアプリで検証すること」
「検証に必要なAPIとして非public APIを使用したサンプルコードをこのドキュメントに添付した。このAPIは他の用途に使ってはならない」
がAppleによる説明です。