: SecOSStatusWith error:[-34018] Error Domain=NSOSStatusErrorDomain Code=-34018 "client has neither application-identifier nor keychain-access-groups entitlements" UserInfo={NSDescription=client has neither application-identifier nor keychain-access-g
色々よくわからない点が (スコア:0)
なぜ「独自のルート証明書を使用していると中間者攻撃が懸念される」かがわからない。
Re:色々よくわからない点が (スコア:1)
件の広告ブロックアプリは通信内容を途中経路で改竄します。
しかし改竄するとhttpsでは改竄を検知してブラウザはエラーを表示し結果は表示されません。
それを防ぐため独自のルート証明書をインストールさせ通信に使用する証明書を差し替えてして通信しています。
それでは実際に途中経路で改竄された場合は誰が改竄を検知するのでしょうか?
原理的には証明書を途中で差し替える前でしか行えないので広告ブロックアプリしか行えません。
それらが正しく実装されていると言えるでしょうか?
その他にも、広告ブロックアプリアプリを解析する事により独自の証明書で暗号化するために持っているサーバー証明書を得ることができてしまいます。
その証明書を使って途中経路で改竄すると独自の証明書のインストールが行われている間は正しい証明書のチェックを行えません。
そもそも悪意のあるアプリが独自のルート証明書をインストールした場合は言うまでもありませんね
などの懸念があります。
Re: (スコア:0)
> 独自の証明書で暗号化するために持っているサーバー証明書を得ることができてしまいます。
> その証明書を使って途中経路で改竄すると独自の証明書のインストールが行われている間は正しい証明書のチェックを行えません。
サーバ証明書を得ることは簡単でしょうが、秘密鍵なくサーバ証明書だけを使って、
どうやって途中経路で改ざんするんでしょうか。
この仕組みの安全性は、独自の独自ルート証明書と秘密鍵をもって、
SSLの復号と再暗号化を行う部分の機器のセキュリティ次第であり、
この手法を使っていれば悪い、ということは一概には言えないと思います。
逆に、この手法はそ
Re: (スコア:0)
>この手法はそもそも証明書が「独自ルート証明書」でなければ安全か、といえば決してそんなことは言えません。途中経路の機器が持っているのが公的証明書であっても、途中経路の機器の安全性はなんら担保されないためです。
(広告ブロックの対象としたいURL)すべてにマッチする公的証明書は取得できないためそんなことはできません。
Re: (スコア:0)
iOS8まではうまく行っていた、独自ルート証明書+クライアント証明書
による、Appacheアクセス制御(SSLVerifyClient require)が、
iOS9になると、下記エラーが出て(xCodeのデバイスから取得)先に
進まなくなっています。
Safariでクライアント証明書必須の当該H/Pを見るだけで、下記エラーに
なっています。
: SecOSStatusWith error:[-34018] Error
Domain=NSOSStatusErrorDomain Code=-34018
"client has neither application-identifier
nor keychain-access-groups entitlements"
UserInfo={NSDescription=client has neither
application-identifier nor keychain-access-g
Re: (スコア:0)
p12をベタに配ってないでiPhone構成ユーティリティでmobileconfig作れ
Re: (スコア:0)
サーバ証明書を得ることは簡単でしょうが、秘密鍵なくサーバ証明書だけを使って、
どうやって途中経路で改ざんするんでしょうか。
アプリ内で改竄して再証明している以上アプリに秘密鍵が含まれているはずです。
このような、独自証明書を使って一度SSLを解読する方法は、Proxy利用するネットワーク製品や
セキュリティ上、外部へのSSL通信を解析する必要のあるセキュリティ製品等では一般的に行われています。
(もちろん、企業であれば管理者、またはユーザの同意あっての利用です。)
それはそのセキュリティ機器が接続先の証明書をチェックしているはずです。していないのであれば欠陥品です。
独自のルート証明書をインストールするアプリの中で
・ユーザー毎に外部から推測できない異なる秘密鍵
Re: (スコア:0)
アプリ内で改竄して再証明している以上アプリに秘密鍵が含まれているはずです。
VPNを使っているので、このアプリ内に暗号鍵は無い筈です。
Re: (スコア:0)
広告ブロックアプリがローカルにVPNサーバーを立てているのでは?
iOSデバイスを持ってないので確認できませんが、少なくともAndroid版のAdblock PlusはlocalhostのVPNサーバーの設定を追加します
通信内容を改竄するサーバーを開発者が用意する方法だと、通信量を考えるととてもペイできるとは思えませんし、私は広告ブロックのためだけに管理者が改竄、盗聴し放題のサーバーを通すなんて嫌ですね