アカウント名:
パスワード:
>住基ネットや国民総背番号制推進派の方々が多かったように思いますし、>そういう方達はもちろん、UDIDに温存派ですよね。
問題の程度が違いますね。
たとえば、国民を識別できる番号について「第三者が勝手に他人の番号を割り出すことができ、またそれを集めることもできる」としたら問題でしょう。
UDIDについて言えば、そのような状態です。IOSアプリはUDIDを抜き放題で、オマケにアドレス帳なども抜き放題。外部送信も勝手にできます(「利用者確認のダイアログを出すこと」などの指針にはみな従っていません)。
ですので、UDIDとアドレス帳をセットで抜かれてしまえば、前述「第三者が勝手に他人の番号を割り出すことができ、またそれを集めることもできる」が簡単に遂行できます。
その点で、国民背番号制などとは問題のレベルが違います。IOSのセキュリティはとっくの昔から崩壊しているのですから。
ちょっと待った>(「利用者確認のダイアログを出すこと」などの指針にはみな従っていません)。
なんでそんなソフトがチェックに引っかからないの?Big Brotherは個人の思想^H^H情報管理をしたいわけだから,自身が規約に引っかからないようにするため?
#妄想だろうけど,位置情報を密かに集めていて,大事になってからバグだと言い逃れをした前歴はあるから,疑う価値は十分にあります.しかも,うちのデバイスからは,そのバグが削除されてないし.
>なんでそんなソフトがチェックに引っかからないの?>Big Brotherは個人の思想^H^H情報管理をしたいわけだから,>自身が規約に引っかからないようにするため?
まず、「確認ダイアログを出すのが基本方針」程度であれば、完全ブッチしてもAppleの審査は通ります。この辺は正直Appleもあまり見てないのが実情でしょう。アドレス帳を全部ぶっこ抜いて外部送信するのも簡単です。
その先として、本来は審査を通らないはずのマルチタスクAPIなどを使ったってAppleの審査を誤魔化す手段はたくさんあります。なにせ、「提出されたバイナリをブラックボックステストする」だけですからね。
たとえば、時限式で審査終わった後に仕込んだ動作を開始させてもいいですし、特定サーバにアクセスしたときにサーバ上に特定のキーファイルが置かれていたら仕込んだ動作を開始(=Appleの審査のときには動作しないようにする)などでもいいわけです。
ま、ランタイムでAPIを権限管理するような機構も無くバイナリ提出受けて実機でテストしても何一つ担保されない、ってのは当たり前なんだけどね。原理的にチェックできないし、だからチェックしてないし、そもそもチェックする気もないっしょ。Jobsがチェックしましたと言えばチェックしたと客は思ってる。だから逆説的に言って、本当にチェックする必要が無い。本質的に客は「安心」を求めてるのであって「安全」を求めてるわけじゃないんだよね。
セキュリティソフトを完全に締め出せばセキュリティ会社に見向きもされなくなる、みたいな画期的なセキュリティ対策も鋭意実施中。おかげでセキュリティ会社はiPhoneの話は一切しない。BlackHatでは毎回iPhoneネタ大盛況だけど一般人の目に触れなければOKと。
禁止APIについては使用するとApple側のツールチェックで引っかかってリジェクトされるはず、検索するとそれでリジェクトされたって経験が出てくるわけですが。
>>原理的にチェックできないし、だからチェックしてないし、そもそもチェックする気もないっしょ。原理的にって・・・具体的にどういう事か説明できますか?
横からです。
リジェクトされなかった、もしくは「後から」リジェクトされた、というケースも多く見かけるはずです。これはとりもなおさず、監査ツールによるチェックが行われて自動的に撥ねるようになっているわけではなく、何らかの条件で(人力で)抜き打ちチェックしていることになります。
「原理的」の部分については元ACがどういう意味で言っているかは分かりませんが、とりあえずiOSはサンドボッ
うん、それが出来たら苦労はないんだけどね。AndroidとかWindowsPhoneと違ってそこで監視出来ないからiOSはセキュリティ脆弱って言われてるんだわ。
>最後には呼ばなければならないので、全く無力ってこともなかろ。
最初から触れられていますが、たとえば・時限式で審査のときはそもそもコードが動かない・悪意あるコードが実行する隠しメソッド名などは外部サーバから取得、それも後日になってなどとされると、Appleが審査する時点では悪意あるコードの痕跡が一切存在しません(上記のようなやり方はある程度対策されはじめました。 が、他の手口はまだ大量にあり、実際には悪意あるアプリまみれなのが現状です)。
ですので、審査は通り公開もされます。
「最後には呼ばれるのだから~」ということが効果を発揮するのは、散々利用者のiOS端末の中を荒らし盗み回されたあと、Appleがふと追試をしたときですね。
横から失礼。iOSはAPI呼び出しをランタイムで監査するサンドボックス機構がありません。そしてAPIコールは容易に難読化することが出来ます。Objective-Cは実行時に動的解決できる言語なので尚更です。うーん、つまりですね。例えばWindowsでもMacでもLinuxでもいいんですが、APIに対してサンドボックス化が一切使えないという前提下において、未知のウィルスを静的解析のみで検知できますか、というのと同じことなんですよ。現在のウィルス検出技術は、既知のウィルスをパターンマッチするか、より上位レイヤでフック仕掛けてランタイムで監査するかしかないでしょう?全く未知の脅威を静的解析で検出出来たらそれはもう万能デバッグ装置でありソフトウェア界の賢者の石です。逆コンパイルして人力で上から下まで全部読んで検査することは理論上可能ですが、もちろんそんなのは現実的ではありません。Apple様なら逆汗してコード見て万全のチェックをしている!!とかビリーバー気取るのは勝手ですが、客観的には馬鹿ですかとしか言いようがないでしょう。
まあ要するに、既知の技術では現行のiOSの構造では現実的なコストでチェック不可能なんですよ。だから現にみんな素通しになってるわけです。
>それとも、政府がやるのには賛成だけど、民間企業には反対?
政府がやるにしても民間企業がやるにしても、それに歯止めがない濫用は反対、リーズナブルに了解の上行うのは問題なしというのが多数意見だと思うけどね。
誰がやるか?じゃなくてどうやるか?なんだよね。
脱税を減らせる国民総背番号制は俺にメリットがあるから賛成。UDIDは俺にメリットがないから反対。
>脱税を減らせる国民総背番号制は俺にメリットがあるから賛成。
ん?もしかして税務署の人?
国民総背番号制でなんで、脱税を減らせるのかわからない。だいたい、脱税している人は、会社作っているから、会社のほうの金を使うはず。それとも、国民総背番号の制度では、「お財布」ごとに全部固有IDでも振るつもり?
> 国民総背番号制でなんで、脱税を減らせるのかわからない。わからないんなら黙ってた方が無知がバレないよ。
それとも、国民総背番号の制度では、「お財布」ごとに全部固有IDでも振るつもり?
それをしないんなら何のために国民総背番号をやると思ってるの?
できるの?って聞いてるんだけど。
(人口1億3千万人)x(お財布(銀行口座、現金の出し入れ可能なもの(FX)とか)で10件/人、勝手な想定)x(一日の使用回数5回/日、勝手な想定)x(365日)x(修正申告可能な期間)
これだけのトラッキングできるわけないでしょ。番号振っても、脱税目的の人は、トラッキングできない工夫を必ずするので意味がないよ。
それとも税務署は、特定個人のみ調査できればいいと考えているのなら、わざわざ、ゴミデータばかりになるのが確実にわかっている子供とかの分は必要はないよね。そこが必ず抜け穴になるし。
その履歴は既に全部記録されていて、あとは名寄せするだけ。もしかして、今の銀行口座がお金の移動を一切記録してないと思ってる人?
税の徴収時に、誰から徴収したか・しなかったかを管理するため。それ以上のことはできませんよ。
政府がやるのには賛成だけど、民間企業には反対?
選挙などで民意を反映する手段が存在し、憲法という国家権力の暴走を止める規定が存在し、民間企業に比べたらだいぶマシな情報公開制度が存在し、曲がりなりににでも三権分立三竦み状態になってる政府・国家と、一意に経済活動を行って投資に対して最大の収益を上げる事を目的とする民間企業を比べたら、前者の方がだいぶマシだというのは一般的な感覚だと思いますが。
陰謀脳の持ち主がどう考えるかはしりませんけど。
2ちゃんねるで世論誘導ができるのなら、今頃日本は韓国と断交して、失業率は二桁%に突入してますよ?/.で世論誘導ができるのなら、今頃WindowsやMicrosoft Officeは駆逐されていますよ?それ以前にネットで世論誘導ができるのなら、GateKeeperを抱えている某ゲームメーカーは全世界トップシェアになっていますよ?
FUDや印象のばら撒きくらいならともかく、世論誘導なんて大袈裟なモンは、ことネット掲示板では効率が悪すぎると思いますが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
/.Jの多数派 (スコア:0)
そういう方達はもちろん、UDIDに温存派ですよね。
それとも、政府がやるのには賛成だけど、民間企業には反対?
Re:/.Jの多数派 (スコア:2, 興味深い)
>住基ネットや国民総背番号制推進派の方々が多かったように思いますし、
>そういう方達はもちろん、UDIDに温存派ですよね。
問題の程度が違いますね。
たとえば、国民を識別できる番号について
「第三者が勝手に他人の番号を割り出すことができ、またそれを集めることもできる」
としたら問題でしょう。
UDIDについて言えば、そのような状態です。
IOSアプリはUDIDを抜き放題で、オマケにアドレス帳なども抜き放題。
外部送信も勝手にできます
(「利用者確認のダイアログを出すこと」などの指針にはみな従っていません)。
ですので、UDIDとアドレス帳をセットで抜かれてしまえば、
前述
「第三者が勝手に他人の番号を割り出すことができ、またそれを集めることもできる」
が簡単に遂行できます。
その点で、国民背番号制などとは問題のレベルが違います。
IOSのセキュリティはとっくの昔から崩壊しているのですから。
Re: (スコア:0)
ちょっと待った
>(「利用者確認のダイアログを出すこと」などの指針にはみな従っていません)。
なんでそんなソフトがチェックに引っかからないの?
Big Brotherは個人の思想^H^H情報管理をしたいわけだから,自身が規約に引っかからない
ようにするため?
#妄想だろうけど,位置情報を密かに集めていて,大事になってからバグだと言い逃れを
した前歴はあるから,疑う価値は十分にあります.しかも,うちのデバイスからは,
そのバグが削除されてないし.
Re:/.Jの多数派 (スコア:2, 興味深い)
>なんでそんなソフトがチェックに引っかからないの?
>Big Brotherは個人の思想^H^H情報管理をしたいわけだから,
>自身が規約に引っかからないようにするため?
まず、「確認ダイアログを出すのが基本方針」程度であれば、
完全ブッチしてもAppleの審査は通ります。
この辺は正直Appleもあまり見てないのが実情でしょう。
アドレス帳を全部ぶっこ抜いて外部送信するのも簡単です。
その先として、本来は審査を通らないはずのマルチタスクAPIなどを使ったって
Appleの審査を誤魔化す手段はたくさんあります。
なにせ、「提出されたバイナリをブラックボックステストする」だけですからね。
たとえば、時限式で審査終わった後に仕込んだ動作を開始させてもいいですし、
特定サーバにアクセスしたときに
サーバ上に特定のキーファイルが置かれていたら仕込んだ動作を開始
(=Appleの審査のときには動作しないようにする)などでもいいわけです。
Re: (スコア:0)
ま、ランタイムでAPIを権限管理するような機構も無くバイナリ提出受けて実機でテストしても何一つ担保されない、ってのは当たり前なんだけどね。
原理的にチェックできないし、だからチェックしてないし、そもそもチェックする気もないっしょ。
Jobsがチェックしましたと言えばチェックしたと客は思ってる。だから逆説的に言って、本当にチェックする必要が無い。本質的に客は「安心」を求めてるのであって「安全」を求めてるわけじゃないんだよね。
セキュリティソフトを完全に締め出せばセキュリティ会社に見向きもされなくなる、みたいな画期的なセキュリティ対策も鋭意実施中。おかげでセキュリティ会社はiPhoneの話は一切しない。BlackHatでは毎回iPhoneネタ大盛況だけど一般人の目に触れなければOKと。
Re: (スコア:0)
禁止APIについては使用するとApple側のツールチェックで引っかかって
リジェクトされるはず、検索するとそれでリジェクトされたって経験が出てくるわけですが。
>>原理的にチェックできないし、だからチェックしてないし、そもそもチェックする気もないっしょ。
原理的にって・・・具体的にどういう事か説明できますか?
Re: (スコア:0)
横からです。
リジェクトされなかった、もしくは「後から」リジェクトされた、というケースも多く見かけるはずです。
これはとりもなおさず、監査ツールによるチェックが行われて自動的に撥ねるようになっているわけではなく、何らかの条件で(人力で)抜き打ちチェックしていることになります。
「原理的」の部分については元ACがどういう意味で言っているかは分かりませんが、とりあえずiOSはサンドボッ
Re: (スコア:0)
Re: (スコア:0)
うん、それが出来たら苦労はないんだけどね。
AndroidとかWindowsPhoneと違ってそこで監視出来ないからiOSはセキュリティ脆弱って言われてるんだわ。
Re: (スコア:0)
>最後には呼ばなければならないので、全く無力ってこともなかろ。
最初から触れられていますが、たとえば
・時限式で審査のときはそもそもコードが動かない
・悪意あるコードが実行する隠しメソッド名などは外部サーバから取得、それも後日になって
などとされると、
Appleが審査する時点では悪意あるコードの痕跡が一切存在しません
(上記のようなやり方はある程度対策されはじめました。
が、他の手口はまだ大量にあり、実際には悪意あるアプリまみれなのが現状です)。
ですので、審査は通り公開もされます。
「最後には呼ばれるのだから~」ということが効果を発揮するのは、
散々利用者のiOS端末の中を荒らし盗み回されたあと、
Appleがふと追試をしたときですね。
Re: (スコア:0)
>完全ブッチしてもAppleの審査は通ります。
・「確認ダイアログを出すのが基本方針」程度なので、完全ブッチしてもAppleの審査は通ります
・「確認ダイアログを出すのが基本方針」程度であれば、完全ブッチしてもAppleの審査は通るのではないでしょうか
のどちらかならいいたいことが分かるのですが、
・「確認ダイアログを出すのが基本方針」程度であれば、完全ブッチしてもAppleの審査は通ります。
だと、何をいいたいのかわかりません。
>なにせ、「提出されたバイナリをブラックボックステストする」だけですからね。
コン
Re:/.Jの多数派 (スコア:1, 興味深い)
横から失礼。
iOSはAPI呼び出しをランタイムで監査するサンドボックス機構がありません。そしてAPIコールは容易に難読化することが出来ます。Objective-Cは実行時に動的解決できる言語なので尚更です。
うーん、つまりですね。例えばWindowsでもMacでもLinuxでもいいんですが、APIに対してサンドボックス化が一切使えないという前提下において、未知のウィルスを静的解析のみで検知できますか、というのと同じことなんですよ。現在のウィルス検出技術は、既知のウィルスをパターンマッチするか、より上位レイヤでフック仕掛けてランタイムで監査するかしかないでしょう?全く未知の脅威を静的解析で検出出来たらそれはもう万能デバッグ装置でありソフトウェア界の賢者の石です。
逆コンパイルして人力で上から下まで全部読んで検査することは理論上可能ですが、もちろんそんなのは現実的ではありません。Apple様なら逆汗してコード見て万全のチェックをしている!!とかビリーバー気取るのは勝手ですが、客観的には馬鹿ですかとしか言いようがないでしょう。
まあ要するに、既知の技術では現行のiOSの構造では現実的なコストでチェック不可能なんですよ。
だから現にみんな素通しになってるわけです。
Re:/.Jの多数派 (スコア:2, 興味深い)
>それとも、政府がやるのには賛成だけど、民間企業には反対?
政府がやるにしても民間企業がやるにしても、それに歯止めが
ない濫用は反対、リーズナブルに了解の上行うのは問題なしと
いうのが多数意見だと思うけどね。
誰がやるか?じゃなくてどうやるか?なんだよね。
Re: (スコア:0)
脱税を減らせる国民総背番号制は俺にメリットがあるから賛成。
UDIDは俺にメリットがないから反対。
Re: (スコア:0)
>脱税を減らせる国民総背番号制は俺にメリットがあるから賛成。
ん?もしかして税務署の人?
国民総背番号制でなんで、脱税を減らせるのかわからない。
だいたい、脱税している人は、会社作っているから、会社のほうの金を使うはず。
それとも、国民総背番号の制度では、「お財布」ごとに全部固有IDでも振るつもり?
Re: (スコア:0)
> 国民総背番号制でなんで、脱税を減らせるのかわからない。
わからないんなら黙ってた方が無知がバレないよ。
Re: (スコア:0)
それをしないんなら何のために国民総背番号をやると思ってるの?
Re: (スコア:0)
できるの?って聞いてるんだけど。
(人口1億3千万人)x(お財布(銀行口座、現金の出し入れ可能なもの(FX)とか)で10件/人、勝手な想定)x(一日の使用回数5回/日、勝手な想定)x(365日)x(修正申告可能な期間)
これだけのトラッキングできるわけないでしょ。
番号振っても、脱税目的の人は、トラッキングできない工夫を必ずするので意味がないよ。
それとも税務署は、特定個人のみ調査できればいいと考えているのなら、わざわざ、ゴミデータばかりになるのが確実にわかっている子供とかの分は必要はないよね。
そこが必ず抜け穴になるし。
Re: (スコア:0)
その履歴は既に全部記録されていて、あとは名寄せするだけ。
もしかして、今の銀行口座がお金の移動を一切記録してないと思ってる人?
Re: (スコア:0)
Re: (スコア:0)
税の徴収時に、誰から徴収したか・しなかったかを管理するため。
それ以上のことはできませんよ。
Re: (スコア:0)
選挙などで民意を反映する手段が存在し、憲法という国家権力の暴走を止める規定が存在し、民間企業に比べたらだいぶマシな情報公開制度が存在し、曲がりなりににでも三権分立三竦み状態になってる政府・国家と、
一意に経済活動を行って投資に対して最大の収益を上げる事を目的とする民間企業を比べたら、前者の方がだいぶマシだというのは一般的な感覚だと思いますが。
陰謀脳の持ち主がどう考えるかはしりませんけど。
その理屈はおかしい (スコア:0)
2ちゃんねるで世論誘導ができるのなら、今頃日本は韓国と断交して、失業率は二桁%に突入してますよ?
/.で世論誘導ができるのなら、今頃WindowsやMicrosoft Officeは駆逐されていますよ?
それ以前にネットで世論誘導ができるのなら、GateKeeperを抱えている某ゲームメーカーは全世界トップシェアになっていますよ?
FUDや印象のばら撒きくらいならともかく、世論誘導なんて大袈裟なモンは、ことネット掲示板では効率が悪すぎると思いますが。