アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
問題はチェック機構がないことか (スコア:1, 参考になる)
・落としたパッケージがAppleからのものだとチェックできるか
この二点がクリアされていないことが問題か。
例えば似たような機構で、Windowsの場合(Windows Update)だと、ドライバなどでMicrosoftの電子署名がないモノは警告が出たと思うので、変なモノを落とすように仕向けられても一応気が付くタイミングはあるはず。
AppleのSoftwareUpdateに、同様のチェックがないとしたらよろしくなさげ。
Update用のパッケージに電子署名くっつけて、それをSoftwareUpdate側でチェックするだけでも違うんじゃないか。これで、上記の例で下の方は一応クリアだと思う。上の方はHTTPSにしてってことになりそうだけど、下がクリアされていれば別に構わないかもしれない。(外してるか?)
今から間に合うか不明だが、Jaguarにはあらかじめ何らかの対策を盛り込んで欲しい。
SoftwareUpdate自体のアップデートも行うことになるだろうけれど、それ自体が狙われる可能性もあり嫌な感じ。Appleには早めの対策をお願いしたい。
Re:問題はチェック機構がないことか (スコア:1)
ただしおっしゃるとおりそのアップデータをSoftware Updateでダウンロード すこと自体が危険なのでウェブサイト [apple.com]からの入手となります
アドレスも明記しますと
http://docs.info.apple.com/article.html?artnum=75304
となります.
kaho
Re:問題はチェック機構がないことか (スコア:0)
httpsにしても腐ったDNSに引きにいったらダメなんでわ。
SSLの証明書チェックしてどうのって話なら納得だけど、
>・落としたパッケージがAppleからのものだとチェックできるか
がきちんとできてれば、おっしゃるとおりで別にh