Apple は iOS と標準アプリを別々に更新できるようにすべきか 82
ストーリー by headless
別々 部門より
別々 部門より
Apple は iOS で標準アプリと OS を別に更新できるようにすべきではないかと 9to5Mac が指摘している
(9to5Mac の記事)。
現在の iOS 標準アプリは OS と同時に更新されるため、アプリ単体で更新を提供するよりも時間がかかることになる。軽微なバグなら数日待っても影響は少ないが、深刻なバグは一刻も早く修正したいところだ。実際に Apple は最近発見された Safari 15 の深刻な脆弱性の修正を進めており、既に iOS 15.3 RC に修正が含まれているが、一般提供は数日先になるとみられる。
ちなみに、FingerprintJS が発見したこの脆弱性は IndexedDB API の同一オリジンポリシー違反により、他のタブやウィンドウでアクセスしている Web サイトのデータベース名を他の Web サイトが読み取れるというもの。これによりユーザーがアクセスした Web サイトが特定できるほか、Google アカウントにログインしている場合は Google が生成するユーザーの識別子を知ることもできるという。
iOS とアプリが個別に更新されるようになれば新機能を容易に受け取れるようになるなどユーザー側のメリットは大きいが、逆に iOS を更新する動機は弱まることになる。そのため、Apple が更新の提供方法を変える可能性は低いとみられる。スラドの皆さんのご意見はいかがだろうか。
現在の iOS 標準アプリは OS と同時に更新されるため、アプリ単体で更新を提供するよりも時間がかかることになる。軽微なバグなら数日待っても影響は少ないが、深刻なバグは一刻も早く修正したいところだ。実際に Apple は最近発見された Safari 15 の深刻な脆弱性の修正を進めており、既に iOS 15.3 RC に修正が含まれているが、一般提供は数日先になるとみられる。
ちなみに、FingerprintJS が発見したこの脆弱性は IndexedDB API の同一オリジンポリシー違反により、他のタブやウィンドウでアクセスしている Web サイトのデータベース名を他の Web サイトが読み取れるというもの。これによりユーザーがアクセスした Web サイトが特定できるほか、Google アカウントにログインしている場合は Google が生成するユーザーの識別子を知ることもできるという。
iOS とアプリが個別に更新されるようになれば新機能を容易に受け取れるようになるなどユーザー側のメリットは大きいが、逆に iOS を更新する動機は弱まることになる。そのため、Apple が更新の提供方法を変える可能性は低いとみられる。スラドの皆さんのご意見はいかがだろうか。
本当にメリットは大きいか? (スコア:3, 興味深い)
ブラウザアプリだけのバグならそういう主張もあるかと思うけど WebKit のバグだったら?
いまは iOS 15.2 とかだけ伝えれば開発者は同じ環境で確認できるわけだけど、iOS のバージョンはいくつで Safari のバージョンはいくつで、とかなると組み合わせがすごく多くなる。それにアプリだけ更新できるようにしたら、次は WebKIT だけ更新できるようにしろとか言い出す気がする…
iOS は全体的にみてマイナーバージョンアップ時の不具合はとても少ないと感じる。この「感じる」というところが多数のユーザーがバージョンアップをする一つの要因なわけで、これは大切にすべき。
というわけで、私個人の意見としては「ユーザー側のメリットは大きい」どころかデメリットが大きいように思う。
アップデート時の組み合わせ検証地獄は Windows だけで十分。断片化地獄は Android だけで十分。
Re:本当にメリットは大きいか? (スコア:1)
ブラウザアプリだけのバグならそういう主張もあるかと思うけど WebKit のバグだったら?
Androidで言うところのWebViewとは違うのかな
同じレイヤの話ならまだそんな状態なの?って感じなのだけど
Re:本当にメリットは大きいか? (スコア:2)
Androidで言うところのWebViewとは違うのかな
同じレイヤの話ならまだそんな状態なの?って感じなのだけど
「そんな状態」とは? Android と違ってレンダリングエンジンは WebKIT 一択ですよ。アプリが Chrome だろうが Firefox だろうが。まだ強制だったと思う。
WebView というのは WebKIT の改造品かな? Google の WebKIT2 あたりからもう追えなくなっている。
だからパスワード管理ツールだのがすべての Web レンダリング画面で使用できたりするわけで、検証問題以外にもユーザーにもメリットはある。
# 多様性が欲しければ Android に行けばいい。誰も止めはしないよ。
Re:本当にメリットは大きいか? (スコア:2)
知らないということは分かりました
知らぬままのほうが安らかに過ごしていただけそうです
KHTML → WebKit → WebKit2 → Blink の流れは分かっているのかな?
ググってみると Jetpack ライブラリの android.webkit とか androidx.webkit いうのもあるのか。これはレンダリングエンジンの WebKit とは違うみたいだが、名前はちなんでいるんだろうな。
Re: (スコア:0)
やはり理解できていないようですね
そのレイヤの話なのですからOSと不可分にせず
アプリとしてアップデートできないようにしていることが問題ということです
かつてMSがIEはOSと不可分と言っていたように
かつてAndroidでWebViewがOSと不可分だったように
どれだけ周回遅れの問題なんでしょうという話なだけ
Re: (スコア:0)
Androidでは、約8年ほど前のバージョン(Android 5.0 Lollipop) からWebViewプロバイダとOSとが分離されました。
Google公式のWebView(Android System WebView)は、他のgoogle製アプリと同様にストアで配布され、随時アップデートが可能です。
また、約6年前のAndroid 7.0 Nougat からは、野良ビルドを含めて複数のWebViewプロバイダをインストールすることが可能になりました。
そして、その中からアクティブなWebViewプロバイダを選択することもできるようになりました(極めて重大なセキュリティ侵害に繋がる懸念があるため、各デバイス純正OSではGoogle公式以外のWebViewプロバイダを選択することはできませんが)。
#ここまで読んでお気づきかとは思いますが、このツリーでblinkのフォーク元やその理由を述べることは完全に的外れです
Re:本当にメリットは大きいか? (スコア:1)
Androidでは、約8年ほど前のバージョン(Android 5.0 Lollipop) からWebViewプロバイダとOSとが分離されました。
はあ、つまり、Google / Android の「WebViewプロバイダとOSとが分離」してストアで配布という選択が「正しい」もしくは「進歩的」というご自分の価値観を暗黙の前提にして話をしているわけですか。そりゃ、話が通じないわけです。最初に「そんな状態」とは?って聞いているのに答えずに話しているから変だと思った。(AC だから途中で中の人が違っているかもしれないけど)
(極めて重大なセキュリティ侵害に繋がる懸念があるため、各デバイス純正OSではGoogle公式以外のWebViewプロバイダを選択することはできませんが)
書いてて自分で矛盾を感じないのかな。多様性とセキュリティリスクや安定性とはトレードオフで、Android と iOS ではその評価基準からして違うんだよ、そして iOS と Android とが違うもので、それをユーザーが選べることがメリットのあることだから、Apple は Google のマネをすべきじゃない、と言っているんだが。
Apple は今のところ、iOS のバージョン毎に単一のレンダリングエンジン、単一の Safari を維持している。だから iOS のバージョンがわかればレンダリングエンジンも Safari の特定できるし、アプリ開発者も検証できる。断片化しまくりの Android では逆立してもできない。
レンダリングエンジンだけを配布できればセキュリティの Fix は早くなるという怪しげな仮定が正しいとしても、セキュリティ検証の観点から見ても(アプリ動作検証と同様に)単一バージョンを検証すれば良いのか、OS と WebView プロバイダの組み合わせ毎に検証しなければいけないのかを考えれば後者がやばいことは明白。さらに OS と WebView プロバイダという二つの要素の組み合わせですめばいいけど、現実的にはそうじゃない。圧縮・伸長とか、プレゼンテーション層的なマルチメディアサポートとか、それぞれを組み合わせたら、すぐに爆発する。
理想論を言えば Android OS と WebView プロバイダの組み合わせによるバグなど起きないことになっているのかもしれないが。現実的にはそうじゃない。アプリ開発者は iOS の各バージョン毎に検証すれば良いが、Android では OS の各バージョンと WebView プロバイダの各バージョンのありうる組み合わせをできる範囲で検証してあとは諦めるしかない、ということではないのか。これでは iOS のようなエンタープライズ品質のアプリ供給は無理、ということになる。それはユーザーにとってはデメリットだろう。
以下、iOS のストーリーからすると完全にオフトピック:
もちろん断片化が売りの Android だから、それを逆手にとって囲い込みを行うことだってできる。実際私の仕事に関係するところでも iOS 用アプリで供給されることがあっても Android ではアプリとしての供給ではなく OS どころかハードウェアまでセットしか許されないことばかり。
それが進むと Android ディストリビューションから更にはみ出て、Lenovo の Commercial Software Development Kit とかで対応する、などになるのだろう。こうなると検証以前にそもそも Lenovo 以外では動くはずもない「アプリ」になる。利用する現場の責任者は、せっかく Android アプリなんだから多種多様なハードウェアから好きなのを選びたいなどというが、iOS アプリのほうがハードウェア選択肢が多いのが実情。
ハードウェアの差異は OS やライブラリが吸収して、アプリケーションはそれに縛られないことが進歩、という観点からは逆行になるが、需要があって供給があるのなら、それも多様性のひとつなんだろう。
Re: (スコア:0)
途中まで読んで「なるほどね」と思っていたら、最後の方で思想優先になって矛盾しちゃってるのね
Re: (スコア:0)
単純な話で
Webkitをアップデートすれば
SafariもWebViewもアップデートされるけど
SafariだけアップデートしてWebViewの方もアップデートされるのか?って懸念でしょ、最初のコメントは。
SafariもWebViewもWebkitの上で動いてんだから。
Re: (スコア:0)
同感。
そもそも15.3RCには含まれているが一般提供にはもう数日って、それ検証に時間がかかっているだけで配布単位の問題とは思えない。
それにappleは検証が単独で済み早く配布したいときはマイナーバージョンで出してくるし。
多分触れられていないがアプリを分離していれば過去バージョンでも云々って話もあると思うけど、その場合でも必要ならappleはセキュリティアップデートを前のバージョン用に出してくる。
訳ない方がユーザーとしても開発者としてもデメリットがメリットを圧倒するよ。
Re: (スコア:0)
とは言ってもブラウザ(Webkitも含む)とOSに求められるセキュリティレベルは全く違うのも事実。
ローカル攻撃しか許さない問題や見た目変えたとかどーでもいい上に互換性問題が出るアップデートとかと抱き合わせることで
アップデートそのものが敬遠され、リモートから攻撃を許す脆弱性が放置されてしまうことが困る。
Re:本当にメリットは大きいか? (スコア:2)
それはまず「アップデートそのものが敬遠され、リモートから攻撃を許す脆弱性が放置されてしまう」ということが本当に起きているのかどうかを確認すべきだろう。
そうしたら次にアプリや WebKit の個別更新を可能にするとそれが解消されるのか、ということを考えればいい。
Re: (スコア:0)
Re: (スコア:0)
横から見ててあまりにも無知過ぎでおちょくられててかわいそうなのでこっそり教えてあげるけど、
Androidは、iOSでいうWebKitに相当する システムに組み込まれてるウェブブラウザコンポーネントを標準で公式ストア(GooglePlay)から更新できるようになってる
AndroidシステムのWebView - Google Play のアプリ
https://play.google.com/store/apps/details?id=com.google.android.webview [google.com]
(PCのウェブブラウザからでも見れるページ)
そこらへんのアプリはウェブブラウザコンポーネントとしてこれを使用しているので、これを更新すればiOSでいう所のWebKitを更新し
Re: (スコア:0)
つまり全てをAppleがコントロールしているiOSには必要ない機能ともいえるわけね
Re: (スコア:0)
理解できないなら黙ってれば良いのに。
全てをAppleがコントロールしている「から」必要な機能なんだよ。
独自にブラウザを作って良いなら必要ない機能。
Re: (スコア:0)
さすがにid4桁が「WebView というのは WebKIT の改造品かな?」というのはわざとやってるのか? というレベルだがApple信者というのはここまで無知でいられるのか
Re: (スコア:0)
最後の1行入れた為に多くの反応を生み出している気がする。
やっぱりWindowsやAndroidをディスってこそ信者なのかな。
「起動ディスク」に Safari やディスクユーティリティが入っているから (スコア:1)
内蔵HDDやSDDが壊れたときのために外付けHDDから起動できるようになっているが、この起動ドライブはシステム領域として特別なパーテーションになっていて、単に起動できるだけでなく、HDD初期化をしたりするために「ディスクユーティリティ」なども同じパーテーションに入っている。
そして、ネット情報も確認出来るように、Safari も実はシステム領域に格納されている。
これが、OSのバージョンアップとSafariのバージョンアップが同時になる原因。
Safariや「ディスクユーティリティ」は「アプリケーション」フォルダの中に入っているように見えるが、実は入っているように見せかけているだけ。実体はシステム領域に置かれている。
Safari をOSとは別にバージョンアップできるようにという要望はごもっともだが、セキュリティ領域が違うから難しいと思いますね。
一般的に使う Safari とシステム用の Safari を別にするという手も取れるかもしれないけど、ベンダーとしてはややっこしいだけでしょうね。
Re:「起動ディスク」に Safari やディスクユーティリティが入っているから (スコア:2)
確かに、iOS と書いてありましたね。
見落とし失礼しました。
IndexedDB API の同一オリジンポリシー違反は深刻な脆弱性じゃない (スコア:1)
ニュースサイトを通じて話題になっただけで、その程度の脆弱性は珍しくもない。
手元でざっと計算したけどCVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N [jvndb.jvn.jp]でスコア4.3(Medium)ってとこだろう。
深刻な脆弱性ってのは一般的にスコア7.0(High)以上、任意コード実行とかセッション情報の漏洩とかそういうのを言う。
Apple的には優先度低で当たり前でしょ。むしろこれでも対応早いくらい。
つーわけで話の前提にある「現在の iOS 標準アプリは OS と同時に更新されるため、アプリ単体で更新を提供するよりも時間がかかることになる。」というのが事実かどうかから検める必要があるだろこの話。
現状のままでいい (スコア:0)
世間体というか見栄というか、周囲の同調圧力みたいなものもあってiPhoneを選択している身にとっては、Appleの選択が常に最先端で優れていると(少なくとも建前上は)言い続けないといけないので、下手に変えるよりも今までと何も変わらずの方が失言しなくて助かる。
正直もう永遠に今のまま変わらないでもいい。新機種も出ない方が助かる。
Re:現状のままでいい (スコア:1)
この釣り堀、大漁だな
Re: (スコア:0)
随分、疲れる生き方しているんだな
Re: (スコア:0)
俺はどうでもいいから現状のままでいいと思う。
Re: (スコア:0)
中高生か?
その同調圧力がどこから来るのか、なぜ従うのかというのが疑問。
そして「優れている」と言わないといけないのが何故かというのも疑問。(同調圧力に負けても自分の選択ということにしたいのか?)
Re: (スコア:0)
世の中でandroidを使う理由って、同調圧力に逆らう俺様ってカッコ良いというのが理由なんだ
そう言われるとそんな人が多いよね
Re: (スコア:0)
iPhoneが出たときに使っていた人も、そんな理由だったのかな。
で、そういう人はAndroidに移ったと。
ほんとかしら。
Re: (スコア:0)
そんなアホな理由でAndroid選ぶ人が多いとはとても思えませんが……。
個人的にはホーム画面のアプリ配置を固定できない端末はちょっと使う気になれません。
考え事とかしてるとうっかりアイコンを長押ししてしまい、どっかに移動したり消したりしてしまうことがあって本当に困ったから。
あと、あの一筆書きロック解除がないのも使う気がおきない。
生体認証は使いたくないので、Androidで満足です。私の利用する範囲ではどっち使っても大差ないし、iPhoneじゃなければならない理由もないので安端末の選択肢が多いAndroidの方が良い。
Re: (スコア:0)
>そんなアホな理由でAndroid選ぶ人が多いとはとても思えませんが……。
世間一般は分かりませんが、スラド民に関しては中古店等で1万円そこそこで
そこそこ使えるSIMフリーの美品中古や未使用品が入手できるという理由で
Androidの人が多いのではないでしょうか。
# [相談相手がいない]and[お金持ち]and[AppleStoreが利用可能]の条件を満たす場合Apple製品をお勧めします
→ 何かあったらとにかくAppleStoreに行きなさい
# (相談相手がいる場合は「相談相手の真似をしなさい。教えてもらえる方を選ぶのです」)
Re: (スコア:0)
エンジニアの持ってるAndroidって大抵は高級機じゃね?
Re: (スコア:0)
> 周囲の同調圧力みたいなものもあってiPhoneを選択している身にとっては
これ書いてる本人のことだとするなら、他人と比較して劣等感から自分で勝手に追い詰められて死ぬやつの思考にしか見えないんで、インドにでも旅に出ることをオススメするよ。
iOS投げ捨ててAndroid使えばいいのでは? (スコア:0)
Androidの脆弱性修正の配信がベンダー毎に差があるのは置いといて
セキュリティに一家言あるはずのスラド民は、Appleのこういう所には目を瞑ってiPhone使うよね。なんで?
Re: (スコア:0)
ん、何が?
スラドってリンゴアンチのすくつじゃないの?
Android使えばいいじゃない。
お好きなのどうぞ。
Re: (スコア:0)
すくつ?
Re: (スコア:0)
そこを説明させるとは鬼だな。
わざとだよ。
Re: (スコア:0)
可愛いわね
Re: (スコア:0)
わざと?
Re: (スコア:0)
> Androidの脆弱性修正の配信がベンダー毎に差があるのは置いといて
それ。置いといたらアカンやろw
で、どこのベンダーの端末なら大丈夫なのさ?
Google Pixel?
Re:iOS投げ捨ててAndroid使えばいいのでは? (スコア:1)
そうそう。断片化こそが Android の存在意義だし。アレげなものとセキュリティリスクの源泉。
最新 OS を幅広い機種というか台数というかで使えることは iOS の特大のメリットで、Android ではこうはいかない。私の手元にある 3代前の iPhone 6s は Wikipedia [wikipedia.org] によれば 2015年 9月発売で、Google Pixel(初代)より前だが、まだ最新の iOS 15 が使える。Pixel なんかではこうはいかないだろう。
Re: (スコア:0)
android使うならPixel一択だと思う。
少なくとも中華android使っていてセキュリティがどうのとか言って欲しくないよ
Re: (スコア:0)
そりゃPixel 6じゃないの?
5年セキュリティアップデートがあれば、まあ、許せるでしょ。
Pixel 6シリーズではアップデートが5年間提供されるかも?
https://it.srad.jp/story/21/10/18/1549252/ [it.srad.jp]
Re: (スコア:0)
Pixel 6(含Pro)は色々不具合が出て炎上してるけどなー
Re: (スコア:0)
古いし、国民投票は「統計だと思って このデータを大事な事に流用しようと思うなら小学校からやり直しましょう。」だけど、
メインで使っているスマホのメーカーは
https://srad.jp/poll/788/ [srad.jp]
によると、Appleは31%なので、6割はAndroidっぽいな。
Re: (スコア:0)
さすがに最近はそこまででもない(ようにGoogleががんばった)
別スレで盛り上がってるレンダリングエンジンなんかはベンダー関係なくアップデート降ってくるし
Re: (スコア:0)
ネット接続出来ないガラケーはいいぞぉ
余計な事を考えなくて済む
# 3G停波後は携帯無し生活に戻る事になるけど
# こんな事もあろうかと友達もいないので無問題
iOSから切り離せば、 (スコア:0)
ワンチャン「iOSの脆弱性ガー」と言われなくて済むかも?
iOSの修正回数が減れば安全なOSと言えるかも?
Appleにもメリットあるんじゃね?
PWAあるからねぇ(とiOSは常に最新を追いかけるか問題) (スコア:0)
OSとブラウザは分離すべきかについては私は分離しない方が良い派。
単純にPWAを考えると「携帯電話のOS」としてはブラウザ不可分領域として扱った方がサポートコストが減る。
iOSを常に最新版までアップデートしている人って案外少なくて、
今回はiOS14のセキュリティアップデートラインもあるので2割程度残る気がする。
それでも(ずいぶん前に)デフォルトが自動アップデートONになったのでかなり増えたのだが、
それまでは正直一度もアップデートした覚えのない人も10代・20代を中心に多かった印象。
最近の状況→ https://moduleapps.com/mobile-marketing/ios-ver/ [moduleapps.com]
(実際はiOS13以前が皆無ということはなくもっといると思うが...)
Re: (スコア:0)
それ以前にAppleのPWAは死んでるじゃん。
Re: (スコア:0)
少なくとも私の周りは使ってるんですが...
センサーの監視モニターとしては同じものが見れるので業務利用としては十分。
あと、注文受け端末やPOS系にも親和性高いと思ってるので、小規模多店舗系を中心にもっと見直されていいと思うんだがねぇ。
端末をそろえるという観点で行けば同価格帯のAndroidデバイスに比べてiPod TouchやiPadは性能・入手性抜群だし。