パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

iOS 9.2へのアップデートで複数のワンタイムパスワード生成アプリにトラブル」記事へのコメント

  • by Anonymous Coward on 2015年12月15日 9時06分 (#2934884)

    で、原因は何なの?
    トークンのもとになるIDか乱数が変わったの?

    • by Anonymous Coward on 2015年12月15日 9時40分 (#2934904)

      > トークンのもとになるIDか乱数が変わったの?

      推測だけど、
      トークンの新規発行や既存トークンの検証で使えるアルゴリズムやキー長など強度条件がiOS9.2で一方的に減らされたんだろう
      んで切られた強度条件で発行していた既存トークンが死亡
      iOS9.2でも引き続き使える強度条件でトークンを再発行すればいい、とかそんなんが濃厚

      その先としてなんで黙って減らすような真似してきたのか?って話になると、
      これまでのiOSの該当強度条件の実装に致命的脆弱性とかあって
      苦し紛れに皆殺しにしてきてるんじゃねとかそんな話になるけど
      この辺はAppleは絶対に情報公開しないだろうから推測からは進まないね

      セキュリティにについてAppleの秘密体質には付き合うだけ無駄

      親コメント
      • 多分いちばん一般的な仕様であろう OATH TOTP は HMAC HASH しかつかわないので、SHA-1 が切られて、あわてて SHA256 に切り替えたとかそんなの?

        親コメント
        • by Anonymous Coward

          HMAC-SHA1は廃止の対象外のはずだが(通常のSHA1のような大幅な弱点はまだ見つかっていない)。SSL/TLSの暗号スイートでも(AEADのものを除いて)SHA1とは実はHMAC-SHA1のことだから廃止対象になっていないし。

      • by Anonymous Coward

        推測だけでここまで妄想するとか、なかなかですね

      • by Anonymous Coward

        何ヶ月も前からベーター版を配布して変更点を告知してるのに対応しないアプリ側の怠慢が問題です
        やる気がないならデベロッパーID返上しろ

        • by Anonymous Coward on 2015年12月15日 11時45分 (#2934978)

          > 何ヶ月も前からベーター版を配布して変更点を告知してるのに対応しないアプリ側の怠慢が問題です

          はい、ではその「変更点を告知している」ソースをぜひ出してください。
          今回の問題の原因である可能性が高いトークンの扱いについてバッチリ明確に記載されているApple公式ドキュメント
          それも何か月も前に出されているものなんですよね。
          大期待してますのでよろしくお願いします。

          まさかそれも持たずに
          「おいおいなんかAppleがダマでまたなんかいじってきてるぞどうすんだ今後どうなるかもわかんないし困ったぞ」
          に追いやられた開発者に責任があるかのように論じるような最低な真似をしているわけではないですよね?

          親コメント
          • by Anonymous Coward

            ソースがAppleのベータプログラム経由でしか入手できないものだったらNDAがあるから明かせないでしょ

        • by Anonymous Coward on 2015年12月15日 12時20分 (#2935006)

          デベロッパーなら解ると思うんだけど
          iOSって一度OSをアップグレードすると基本的にダウングレードが出来ないから
          OSアップグレード時のアプリの動作検証って出来る回数に限りがあるんだよ

          これをデベロッパーの怠慢だといわれると正直つらい

          親コメント
        • by Anonymous Coward

          あいつら正式版リリース一週間前のゴールデンマスターにたまにとんでもないもの突っ込んでくるんだよ(怒

          • by Anonymous Coward

            しかもリリースノートに何の記載もなしに

        • by Anonymous Coward

          スクエニの告知自体はかなり早かったよ。
          11月中旬頃には告知出てたし。
          実装後のテストとストアの承認の時間考えたら、それなりに頑張って対応したんじゃね?

    • by Anonymous Coward

      各種事例を並べると、

      • アプリが非対応のまま iOS をアップデートした場合、再度 OTP の初期化手続きが必要
      • アプリを対応版にアップデートさせて一度起動させれば、その後 iOS をアップデートしても問題なく利用できる

      ということのようなので、多分サーバと共有してる秘密鍵かなんかのストレージへのアクセス方法が変わったんでしょうね。

      海外でも、 Vasco の MYDIGIPASS とかいうアプリが同じ問題に遭遇してるようですが、原因の詳細は分からず。
      https://twitter.com/MyDigipassDevs/status/674555314868379648 [twitter.com]
      # 単にみんな、 Vasco の製品使ってただけだったりして

      • by Anonymous Coward

        > アプリが非対応のまま iOS をアップデートした場合、再度 OTP の初期化手続きが必要

        と書いてるのに

        > ということのようなので、多分サーバと共有してる秘密鍵かなんかのストレージへのアクセス方法が変わったんでしょうね。

        は話がかみ合ってないよ
        もしアプリが非対応なことが問題なら、OTPの初期化手続きしたって問題は解決しない(そもそも初期化できるかすら怪しい)

        • by Anonymous Coward

          こんなん原因がストレージ絡みなの明白だろ
          アホか?

      • by Anonymous Coward

        > ということのようなので、多分サーバと共有してる秘密鍵かなんかのストレージへのアクセス方法が変わったんでしょうね。

        私もこれに1票。
        で、おそらく↓と同じようなことが起きているのではないかと予想。

        ios9 - iOS keychain - errSecItemNotFound with iOS 9.2 beta 3 - Stack Overflow [stackoverflow.com]

        • by Anonymous Coward

          > 私もこれに1票。
          > で、おそらく↓と同じようなことが起きているのではないかと予想。

          さんざん言われてるけど、その予想は
          アプリはそのままでトークンの再発行をするだけで問題が解決するという事実と矛盾してる

          あとそのサイトに記載されているが

          > The issue occurs with 64-bit devices only, no problem with 32-bit devices.

          とかねぇ
          iOS9.2(64bit)側の実装の変化だろそれとしか

      • by Anonymous Coward

        なるほど。
        対応版アプリをiOSアップデート前に一度起動する必要があるところから、想像するに、
        アプリ起動時にiOSのバージョンを見て、「サーバと共有してる秘密鍵かなんか」を、

        • 別のストレージに退避する(バージョンが古い場合)
        • 退避元から本来のストレージへ書き戻す(バージョンが新しい場合)

        処理を追加したんだろうね。

      • by Anonymous Coward

        > # 単にみんな、 Vasco の製品使ってただけだったりして

        スクエニのハードウェアトークンがDIGIPASS GO 6なので、
        ソフトウェアトークンもVasco製でしょうね。
        三菱東京UFJや三井住友もVascoっぽいですね。

    • by Anonymous Coward

      「で、」で始まるサンドバッグ探し

人生unstable -- あるハッカー

処理中...