パスワードを忘れた? アカウント作成
15225008 story
クラウド

6か月にわたりiCloudからロックアウトされている女性、名前は「True」 61

ストーリー by nagazou
trueがスルーされた 部門より
headless 曰く、

「True」という姓の女性(本名)が6か月にわたり、iCloudからロックアウトされているそうだ(Rachel True氏のツイート9to5Macの記事)。

この女性は俳優のRachel True氏。iCloudのエラーメッセージは「true」という値を「lastName」プロパティにセットできないというもの。コーディングの問題とみられるが、Appleは問題点を特定できずにいるようだ。しびれを切らしたTrue氏は2月末になってTwitterで問題を公表。連日何時間もAppleサポートと電話で話しても問題は解決しない一方、iCloudの課金は続いているという。このツイートは注目を集めたが、iCloudチームのArun Gupta氏がTwitter上でTrue氏に連絡したのは3月7日のことだ。早ければ週明けに続報があるようだが、どうなるだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2021年03月09日 15時05分 (#3991104)

    プログラマを悩ます人名:「Null」さん
    https://it.srad.jp/story/13/08/02/0546248/ [it.srad.jp]

    • by Anonymous Coward

      $ apt-cache show microsoft-edge-dev
      Package: microsoft-edge-dev
      Priority: optional
      Section: web
      Installed-Size: 315739
      Maintainer: Microsoft Edge for Linux Team <null@null.com>

    • by Anonymous Coward

      rubyを使わないからそういうことになるのだ!

      • by Anonymous Coward

        Nilさ~ん! 呼んでますよ~!

  • 万が一日本語を解釈できる言語で作られていたら、全国の真さんが泣く羽目に。

  • by Anonymous Coward on 2021年03月09日 15時10分 (#3991112)

    日本だと「はじめ」は漢数字「一」でUnicodeで判定するとPythonのisdigitやisnumericのように
    Trueと判定してしまうサイトとかあるんじゃなかろうか・・・?

    #"〇".isnumeric()-> True
    #"零".isnumeric()-> True
    #"一".isnumeric()-> True
    #"壱".isnumeric()-> True
    #"二".isnumeric()-> True
    コピペ

    • by Anonymous Coward

      加藤一二三や山本五十六みたいのは引っかかりますね。
      numeric 扱いが兆までで佐藤京一みたいなのはセーフなのが何となく納得行かない。
      # まあそもそも given_name.isnumeric() することはまず無いんですが
      # あと str.isdigit() は漢数字では False で、 True なのは全角数字や記号の場合だと思います

  • by Anonymous Coward on 2021年03月09日 15時00分 (#3991103)

    存在するのだろうか

  • by Anonymous Coward on 2021年03月09日 15時43分 (#3991133)

    二十年ぐらい前からSQLインジェクションやhtmlでのscripインジェクションなどが話題になってて入力文字列をそのままシステムで扱うのは禁止って初歩的な常識ができている。
    それなのにいまだにたびたびこういう問題が、しかも大企業のシステムで出てくるのは不思議でならない。
    わざと穴を作っていつでも侵入できるようにしてるとか陰謀論を考えたくなる。

    • 氏名やニックネームなどの固有名詞はテーブルやハッシュに入れておいて、内部ではインデックスで処理するのが良いのかな。
      #素人考えです

      親コメント
      • by Anonymous Coward

        free text inputはbase64にでもエンコードして扱えばいいのにと思う
        #素人考えです

    • by Anonymous Coward

      型指定とか暗黙の型変換とかプログラム言語的な問題でしょ。

      • by Anonymous Coward

        'true' という文字列だけを true に変換してしまうならそうかもだけど、
        暗黙の型変換のある言語でも大抵は、空文字列 => false, 空でない文字列 => true
        の変換じゃない? そう考えると原因は違うところにあるような気がする。

        • by Anonymous Coward

          Perlだと、空文字列、文字列の「0」、数値の「0」は「偽」と扱われる。
          なので、入力がなかったらエラーにしようと思って
          if (!$param{"Nickname"}) { &error("ニックネームがありません。") }
          などとやると「0」を入力すると、入力があるのに、無い旨のエラーメッセージが表示されるというバグを作り込むことになる。

          ただ、昔から知られたバグだけどね。

          • by Anonymous Coward

            そういう誤った処理を防ぐために標準で汚染チェックモードを備えていて
            外部由来の入力文字列からは正規表現を使って取り出されるべき値を取り出せ!

            っていう言語仕様なってるのに

      • by Anonymous Coward

        そういうのはソースコードに直接文字を書き込むときにしか起きないから、適当なエンコードかけておくだけで起きない問題だし意図しない変換がおきないようにそれをしておくのが普通だよ。

        • by Anonymous Coward

          暗黙の型変換は普通変数内の値に対して起こるものだからソースコードに直接文字を書き込むときに起きるわけではないし、
          文字列変数内部の値をわざわざエンコードかけて保持しておくなんてめったにしないよ。じゃないと文字列操作や検索が面倒になる。

          • by Anonymous Coward

            型変換は普通変数内の値に対して起きるのではなく、変数に文字列を代入するときに起きる(どちらも同じようだけどまったく違い)。ソースコードは文字列だから代入される値も文字列で型変換が起きる。jsonへの書き出しなども同じ。
            エンコードは、文字列を代入するときに起きるから文字列をエンコードかけて代入時に変換されないようにしてしまう。変数内では型変換が起きないから一度読み込んだ後はデコードして扱う(エンコード値を保持するわけではない)。

    • by Anonymous Coward

      何故かは分からんが、Appleって昔からソフトウェアでの文字列の扱いがくっっっっっっそ苦手だよね。
      人は大きく入れ替わってるだろうに同じようなことがたびたび発生するのは一体どういうことなんだか。

    • by Anonymous Coward

      文字列のサニタイズ?(サニタイズ警察くるかも)の話よりは、
      オブジェクトのシリアライザ・デシリアライザの話に見える。

      CORBAとかgRPCみたいにIDL書く手法ならともかく、JSONで連携してエンコーダデコーダは各々で書くみたいな手法を
      大企業のコードなりその中のライブラリなりでやってるとこういうこと起きると思う。

    • by Anonymous Coward

      プログラマなら誰でも知ってることだが、SQLインジェクションや
      バッファオーバーフローが厄介なのは、それがあることは知っていても、
      完全にバグのないプログラムを作るのは難しいことだぞ。文字化けやメモリ
      リークなんかもそうかな。
      #だからGCやライブラリやGCに丸投げするのだが、
      #汎用ライブラリが使えない領域だとそうもいかん。

      「入力チェックさえすれば完璧」「注意すればバグは出ない」
      「ルールを作っておけば必ず守られる」「プログラマは完璧超人」
      なんて思ってるのは素人だけだぞ。

      それ以前に、元の設計の筋が悪いことも多いけどね。
      むしろ「入力チェックさえすれば~」と思ってる人の方が、そういう
      設計にしがちなんだろうな。それを筋が悪いと思ってないから。

      • by Anonymous Coward

        玄人は6ヶ月代金だけ取って放置を正しいと判断するってことですか?

      • by Anonymous Coward

        SQLインジェクションに限っていえば簡単に100%防げるよ。
        だってSQL実行するときにデータを変数渡しすればいいだけなんだから。

  • by Anonymous Coward on 2021年03月09日 16時10分 (#3991157)

    Web上で住所を入力するとき、半角英数字を使うと撥ねられるサイトが多いけど、
    フォームから打ち込んだ文字列解釈してしまうのを防ぐためだったんだな。
    TrueさんもFamily NameをTrueと入力すれば問題ないだろう。

    • by Anonymous Coward

      英語圏ではアルファベットで全角半角の違いは入力しないんじゃない?
      そもそもPC上でIME自体が動いてないかと。
      (キリル文字とかを使う非英語圏では違うだろうけど)

      というか、半角英数字を跳ねるなんて恐ろしくイケてない実装だと思うなぁ。
      いっぱいあるけど。

    • by Anonymous Coward

      半角英数字をサーバー側で強制的に全角にすればいいのに
      ユーザーにやらせるのはすごい腹立つ。全角入力しづらいんだよ!

      • by Anonymous Coward

        先輩世代の、インジェクション攻撃を受けたトラウマが強すぎて、
        「半角の入力を受け付けない仕様にすること」っていう仕様の仕様が作られちゃったんだよ…

    • by Anonymous Coward

      全角強制サイトと、半角強制サイトの二種類がある。
      入力直後に教えてくれるのは親切なほうで、submitしたときにエラーで戻ってくるサイトも少なくない。

      数字くらい、勝手に半角全角変換すればいいのに。

  • by Anonymous Coward on 2021年03月09日 18時32分 (#3991246)

    ITドカタなんですね。

    いやはや・・・

  • by Anonymous Coward on 2021年03月09日 18時57分 (#3991263)

    なんという詐欺商売
    さすがApple様ですな

    • by Anonymous Coward on 2021年03月09日 20時09分 (#3991302)

      日本(NTT)も負けてない(ちゃんと使えてるけどね)

      「利用明細を見たいならwebビリングに登録しな」
      登録したら「webビリングとは別のサービス登録しないと駄目だから」
      さらに登録しようとしたら「dポイントのアカウント作れ」
      ちなみにそれとは別にNTTの接続アカウントとフレッツ光のアカウントも存在する

      親コメント
      • by Anonymous Coward

        何れもNHKの足元にも及ばない。

  • by Anonymous Coward on 2021年03月09日 20時32分 (#3991318)

    コマンドインジェクションやSQLインジェクションにつながる名前を持つ人がいれば、
    いろんなサービスを利用できなかったりしそう

  • by Anonymous Coward on 2021年03月09日 22時35分 (#3991365)

    唐沢美帆さんの話かと。

    # こういう芸名つけるのが好きな人って結構多いな。やはり芸術家って一般常識から逸脱したくなるのかしら?

  • by Anonymous Coward on 2021年03月10日 0時44分 (#3991405)

    今まで問題が生じたことは無かったんだろうか
    Fear, and Loathing in Las Vegasさんはずっとand Loathing in Las VegasさんとFearさんの共作と見做されてしまっていたけど

  • by Anonymous Coward on 2021年03月10日 12時43分 (#3991645)

    つまりAppleサポートには開発部隊につながるエスカレーションルートがないということだよね。

    • by Anonymous Coward

      そもそもユーザーという概念が無いのでは?

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...