Apple、App Storeでの通信をすべてHTTPS化 25
ストーリー by headless
通信 部門より
通信 部門より
Appleは最近、App Storeで表示するアクティブコンテンツをHTTPSで送信するようになったそうだ(Apple Web Server notifications、
Elie Bursztein氏のブログ記事、
Ars Technicaの記事、
本家/.)。
App Storeではログイン情報の送信などについては以前からHTTPSを使用しているが、画面に表示するアプリ情報ページなどについてはHTTPで送信されていた。昨年7月に問題を指摘したGoogleのElie Bursztein氏によれば、同じローカルネットワークに接続した攻撃者が偽のダイアログボックスを表示してパスワードを入力させることや、ユーザーが選択したのとは別のアプリをインストールさせることなどが可能だったという。また、アプリの更新をチェックするためにインストール済みアプリの一覧をHTTPで送信していたため、攻撃者は容易にインストール済みアプリを知ることができたとのこと。なお、Bursztein氏のブログでは先週修正されたと記載されているが、Appleのお知らせによると1月23日に修正されていたようだ。
App Storeではログイン情報の送信などについては以前からHTTPSを使用しているが、画面に表示するアプリ情報ページなどについてはHTTPで送信されていた。昨年7月に問題を指摘したGoogleのElie Bursztein氏によれば、同じローカルネットワークに接続した攻撃者が偽のダイアログボックスを表示してパスワードを入力させることや、ユーザーが選択したのとは別のアプリをインストールさせることなどが可能だったという。また、アプリの更新をチェックするためにインストール済みアプリの一覧をHTTPで送信していたため、攻撃者は容易にインストール済みアプリを知ることができたとのこと。なお、Bursztein氏のブログでは先週修正されたと記載されているが、Appleのお知らせによると1月23日に修正されていたようだ。
SSLのコスト (スコア:4, 参考になる)
やっぱりこのへんがネックなんですよね。
金額的なものやサイトの作りが影響する場合もありますけど、SSLにするとパフォーマンスはどうしても落ちてしまうんですよね。
その分を補うためにあれこれしないといけない部分も発生しますし。
# 大抵はベリサインでいいんですけど、費用から考えてほかのマイナーな発行機関にすることもあります。
# でもマイナーなところだと多段認証時に時間がかかることがって
# ベリサインだと100msで認証が終わるけどマイナーなところだと300msかかるみたいなことがあって
# 微々たる差ではありますがアクセス数によっては体感できるほどの差が発生するので
# 証明書の発行機関も色々な要素を見て決定しないといけない場合もあります。
Re: (スコア:0)
そうなんですか。
ベリサインの一番安いヤツをつかってますが、2年ほど前から、
ルート証明書→中間証明書2つ→サーバ証明書
になって、中間証明書が1つ増えたのですが、これはどの程度影響があるんだろう。
それなら、ECCとRSAのハイブリッドもありかと思い、ちょっと調べてみたら、
一番安いやつは、非対応ですね。なるほど。
Re: (スコア:0)
これはTLS + Basic Auth かな?
2-way TLS handshakeつまりクライアント証明書認証だと更に倍ですよね。
false startとかsnap startとか (スコア:1)
モバイル環境だと特にHTTPでのやり取り開始までのオーバーヘッドが遅延の原因になってイヤなんだけど、
TLS false startとかsnap startとかって普及し始めてるの?
てか、まだドラフト段階なんだったっけ?
屍体メモ [windy.cx]
Re: (スコア:0)
Mozillaは、Bug 658222 [mozilla.org]で実装作業中。
広告媒体に影響は? (スコア:0)
リワード広告など、Safariを立ち上げて処理をかけるような広告システムに影響あるんですかね?
Re: (スコア:0)
関係無いでしょ、AppStoreの話だし。
他所は? (スコア:0)
PlayとかWindows8のとかWindowsPhoneなんかはアプリに付与された権限が表示されるわけですが、
あれは信頼できる通信路で送られてるんだろうか?
Re:他所は? (スコア:3, 参考になる)
Windowsストアの紹介ページ(apps.microsoft.com)はWebブラウザでアクセスする限り暗号化されてないね(ストアのアプリで見たときどうなのかは知らね)。
PlayはGoogleの他のサービス同様、完全にHTTPS化されているようだ(同じくAndroidスマートフォンで見たときどうなのかは知らね)
Re:他所は? (スコア:1)
購入履歴のページは暗号化されてますよ?
https://www.windowsphone.com/ja-jp/my/purchase-history [windowsphone.com]
Re:他所は? (スコア:1)
他サービスが完全HTTPSとは言い過ぎ。
HTTPS化があらゆる面に進んでいるのは割と最近のことだし、
検索はまだデフォルトHTTPだよ。
出来るというのとデフォルトでの動作はまた意味が違う。
良い方向性なのでは (スコア:0)
昔、某ハードメーカのドライバダウンロードサイトでハッシュ値まで表示していて、
その時は慎重だな、と思ったものですが、サイト自体はSSLではないので
あまり意味が無かったのではないか、なんて思いました。
アプリストアの類は利用した事が無いですが、料金の支払いが行われるのに
SSLが使われていなかった、と言うのもよく判りませんが…
支払いとそのための認証は別に行われている、という事なのでしょうけど。
ダウンロードするソフトウェアや情報も証明書付きのサイトの方が安心できます。
企業が情報を提供するサイトはすべて証明書付きにすべき、なんて(^^;
Re:良い方向性なのでは (スコア:1)
銀行のサイトで、インターネットバンキングのページだけHTTPSなのが理解できん。
そんなにSSLの負荷は高いの?
しかも、その銀行とは関係無さそうな別ドメインの共有サイトに置いてるのに、HTTPのページからリンクしてて、注意事項も書いてないし。
Re:良い方向性なのでは (スコア:2, 興味深い)
本当は全部SSLにしたいんだけど、現実問題性能が半分以下になるのよね。
それを補える性能の危機となると、倍の値段じゃ済まないので、HTTPを禁止できない。
というのが表向きの理由なんだけど、問題があった時のリスクを正しく見積もれてないからだと思うよ。
コールセンターの電話番号とか書き換えられたらヤバイんだけどなー。上手く伝えれない。
Re:良い方向性なのでは (スコア:1)
うーん、ハッシュは改ざんを防ぐと言うよりは
ダウンロードしたファイルが一部壊れてたとかを防ぐためじゃないかな?
まあ、たいてい圧縮ファイルだと思うので、ダウンロードしたファイルが壊れてたからといって
一部壊れたドライバをインストールすることになるケースがどれだけあるかはわからないけど…
Re: (スコア:0)
一部壊れたアーカイブを解凍できない問い合わせに応えるコストはいくらか低減できたんじゃないかしら
Re: (スコア:0)
壊れたアーカイブで問い合わせるようなやつがハッシュ値計算して確認するとは思えない
Re: (スコア:0)
○リサインのステマです?
Re: (スコア:0)
発行先の真正性検証に多少の金がかかるのは理解するが、単に通信経路での盗聴を防ぐだけの暗号利用の方法を考えないといけないと思う。
Re: (スコア:0)
通信相手が誰かわからんでも暗号化したいってんなら、オレオレ証明書でいいじゃん。
Re: (スコア:0)
誤:通信相手が誰かわからんでも暗号化したいってんなら
正:通信相手が予め判っていて証明書の正当性を自力で検証できるなら
Re: (スコア:0)
ちなみに国内ではVerisignなど高くても信頼性の高いものが多いけど、海外ではそうじゃない模様。
おかげさまでEV SSL証明書とか出来る始末
いままで違ったのかいな (スコア:0)
すごい今更感がする
ローカルネットワークにアクセスされた時点で (スコア:0)
ローカルネットワークにアクセスされた時点で、たいていアウトだと思うけど・・・
ローカルネットに知らない端末が繋がっている構成の時もたまにあるから(公衆無線LANなど?)
でもそんなところであまりアプリのインストールはしない方がいいよね。
この件とは関係ないと思うけど (スコア:0)