アカウント名:
パスワード:
で、原因は何なの?トークンのもとになるIDか乱数が変わったの?
> トークンのもとになるIDか乱数が変わったの?
推測だけど、トークンの新規発行や既存トークンの検証で使えるアルゴリズムやキー長など強度条件がiOS9.2で一方的に減らされたんだろうんで切られた強度条件で発行していた既存トークンが死亡iOS9.2でも引き続き使える強度条件でトークンを再発行すればいい、とかそんなんが濃厚
その先としてなんで黙って減らすような真似してきたのか?って話になると、これまでのiOSの該当強度条件の実装に致命的脆弱性とかあって苦し紛れに皆殺しにしてきてるんじゃねとかそんな話になるけどこの辺はAppleは絶対に情報公開しないだろうから推測からは進まないね
セキュリティにについてAppleの秘密体質には付き合うだけ無駄
多分いちばん一般的な仕様であろう OATH TOTP は HMAC HASH しかつかわないので、SHA-1 が切られて、あわてて SHA256 に切り替えたとかそんなの?
HMAC-SHA1は廃止の対象外のはずだが(通常のSHA1のような大幅な弱点はまだ見つかっていない)。SSL/TLSの暗号スイートでも(AEADのものを除いて)SHA1とは実はHMAC-SHA1のことだから廃止対象になっていないし。
推測だけでここまで妄想するとか、なかなかですね
適当なこといっておいた方が面白いでしょ。
微妙に正しく、肝心なところで嘘をつくのが大人の態度
妄想ってそういうもんでしょー
何ヶ月も前からベーター版を配布して変更点を告知してるのに対応しないアプリ側の怠慢が問題ですやる気がないならデベロッパーID返上しろ
> 何ヶ月も前からベーター版を配布して変更点を告知してるのに対応しないアプリ側の怠慢が問題です
はい、ではその「変更点を告知している」ソースをぜひ出してください。今回の問題の原因である可能性が高いトークンの扱いについてバッチリ明確に記載されているApple公式ドキュメントそれも何か月も前に出されているものなんですよね。大期待してますのでよろしくお願いします。
まさかそれも持たずに「おいおいなんかAppleがダマでまたなんかいじってきてるぞどうすんだ今後どうなるかもわかんないし困ったぞ」に追いやられた開発者に責任があるかのように論じるような最低な真似をしているわけではないですよね?
ソースがAppleのベータプログラム経由でしか入手できないものだったらNDAがあるから明かせないでしょ
デベロッパーなら解ると思うんだけどiOSって一度OSをアップグレードすると基本的にダウングレードが出来ないからOSアップグレード時のアプリの動作検証って出来る回数に限りがあるんだよ
これをデベロッパーの怠慢だといわれると正直つらい
あいつら正式版リリース一週間前のゴールデンマスターにたまにとんでもないもの突っ込んでくるんだよ(怒
しかもリリースノートに何の記載もなしに
スクエニの告知自体はかなり早かったよ。11月中旬頃には告知出てたし。実装後のテストとストアの承認の時間考えたら、それなりに頑張って対応したんじゃね?
各種事例を並べると、
ということのようなので、多分サーバと共有してる秘密鍵かなんかのストレージへのアクセス方法が変わったんでしょうね。
海外でも、 Vasco の MYDIGIPASS とかいうアプリが同じ問題に遭遇してるようですが、原因の詳細は分からず。https://twitter.com/MyDigipassDevs/status/674555314868379648 [twitter.com]# 単にみんな、 Vasco の製品使ってただけだったりして
> アプリが非対応のまま iOS をアップデートした場合、再度 OTP の初期化手続きが必要
と書いてるのに
> ということのようなので、多分サーバと共有してる秘密鍵かなんかのストレージへのアクセス方法が変わったんでしょうね。
は話がかみ合ってないよもしアプリが非対応なことが問題なら、OTPの初期化手続きしたって問題は解決しない(そもそも初期化できるかすら怪しい)
こんなん原因がストレージ絡みなの明白だろアホか?
私もこれに1票。で、おそらく↓と同じようなことが起きているのではないかと予想。
ios9 - iOS keychain - errSecItemNotFound with iOS 9.2 beta 3 - Stack Overflow [stackoverflow.com]
> 私もこれに1票。> で、おそらく↓と同じようなことが起きているのではないかと予想。
さんざん言われてるけど、その予想はアプリはそのままでトークンの再発行をするだけで問題が解決するという事実と矛盾してる
あとそのサイトに記載されているが
> The issue occurs with 64-bit devices only, no problem with 32-bit devices.
とかねぇiOS9.2(64bit)側の実装の変化だろそれとしか
なるほど。対応版アプリをiOSアップデート前に一度起動する必要があるところから、想像するに、アプリ起動時にiOSのバージョンを見て、「サーバと共有してる秘密鍵かなんか」を、
処理を追加したんだろうね。
> # 単にみんな、 Vasco の製品使ってただけだったりして
スクエニのハードウェアトークンがDIGIPASS GO 6なので、ソフトウェアトークンもVasco製でしょうね。三菱東京UFJや三井住友もVascoっぽいですね。
「で、」で始まるサンドバッグ探し
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
あいかわらず、互換性をぶっ飛ばす (スコア:0)
で、原因は何なの?
トークンのもとになるIDか乱数が変わったの?
Re:あいかわらず、互換性をぶっ飛ばす (スコア:1)
> トークンのもとになるIDか乱数が変わったの?
推測だけど、
トークンの新規発行や既存トークンの検証で使えるアルゴリズムやキー長など強度条件がiOS9.2で一方的に減らされたんだろう
んで切られた強度条件で発行していた既存トークンが死亡
iOS9.2でも引き続き使える強度条件でトークンを再発行すればいい、とかそんなんが濃厚
その先としてなんで黙って減らすような真似してきたのか?って話になると、
これまでのiOSの該当強度条件の実装に致命的脆弱性とかあって
苦し紛れに皆殺しにしてきてるんじゃねとかそんな話になるけど
この辺はAppleは絶対に情報公開しないだろうから推測からは進まないね
セキュリティにについてAppleの秘密体質には付き合うだけ無駄
Re:あいかわらず、互換性をぶっ飛ばす (スコア:1)
多分いちばん一般的な仕様であろう OATH TOTP は HMAC HASH しかつかわないので、SHA-1 が切られて、あわてて SHA256 に切り替えたとかそんなの?
Re: (スコア:0)
HMAC-SHA1は廃止の対象外のはずだが(通常のSHA1のような大幅な弱点はまだ見つかっていない)。SSL/TLSの暗号スイートでも(AEADのものを除いて)SHA1とは実はHMAC-SHA1のことだから廃止対象になっていないし。
Re: (スコア:0)
推測だけでここまで妄想するとか、なかなかですね
へんな教えて君がいるから.. (スコア:0)
適当なこといっておいた方が面白いでしょ。
微妙に正しく、肝心なところで嘘をつくのが大人の態度
Re: (スコア:0)
妄想ってそういうもんでしょー
Re: (スコア:0)
何ヶ月も前からベーター版を配布して変更点を告知してるのに対応しないアプリ側の怠慢が問題です
やる気がないならデベロッパーID返上しろ
Re:あいかわらず、互換性をぶっ飛ばす (スコア:1)
> 何ヶ月も前からベーター版を配布して変更点を告知してるのに対応しないアプリ側の怠慢が問題です
はい、ではその「変更点を告知している」ソースをぜひ出してください。
今回の問題の原因である可能性が高いトークンの扱いについてバッチリ明確に記載されているApple公式ドキュメント
それも何か月も前に出されているものなんですよね。
大期待してますのでよろしくお願いします。
まさかそれも持たずに
「おいおいなんかAppleがダマでまたなんかいじってきてるぞどうすんだ今後どうなるかもわかんないし困ったぞ」
に追いやられた開発者に責任があるかのように論じるような最低な真似をしているわけではないですよね?
Re: (スコア:0)
ソースがAppleのベータプログラム経由でしか入手できないものだったらNDAがあるから明かせないでしょ
OSアップグレード時の検証 (スコア:1)
デベロッパーなら解ると思うんだけど
iOSって一度OSをアップグレードすると基本的にダウングレードが出来ないから
OSアップグレード時のアプリの動作検証って出来る回数に限りがあるんだよ
これをデベロッパーの怠慢だといわれると正直つらい
Re: (スコア:0)
あいつら正式版リリース一週間前のゴールデンマスターにたまにとんでもないもの突っ込んでくるんだよ(怒
Re: (スコア:0)
しかもリリースノートに何の記載もなしに
Re: (スコア:0)
スクエニの告知自体はかなり早かったよ。
11月中旬頃には告知出てたし。
実装後のテストとストアの承認の時間考えたら、それなりに頑張って対応したんじゃね?
Re: (スコア:0)
各種事例を並べると、
ということのようなので、多分サーバと共有してる秘密鍵かなんかのストレージへのアクセス方法が変わったんでしょうね。
海外でも、 Vasco の MYDIGIPASS とかいうアプリが同じ問題に遭遇してるようですが、原因の詳細は分からず。
https://twitter.com/MyDigipassDevs/status/674555314868379648 [twitter.com]
# 単にみんな、 Vasco の製品使ってただけだったりして
Re: (スコア:0)
> アプリが非対応のまま iOS をアップデートした場合、再度 OTP の初期化手続きが必要
と書いてるのに
> ということのようなので、多分サーバと共有してる秘密鍵かなんかのストレージへのアクセス方法が変わったんでしょうね。
は話がかみ合ってないよ
もしアプリが非対応なことが問題なら、OTPの初期化手続きしたって問題は解決しない(そもそも初期化できるかすら怪しい)
Re: (スコア:0)
こんなん原因がストレージ絡みなの明白だろ
アホか?
キーチェーン (スコア:0)
> ということのようなので、多分サーバと共有してる秘密鍵かなんかのストレージへのアクセス方法が変わったんでしょうね。
私もこれに1票。
で、おそらく↓と同じようなことが起きているのではないかと予想。
ios9 - iOS keychain - errSecItemNotFound with iOS 9.2 beta 3 - Stack Overflow [stackoverflow.com]
Re: (スコア:0)
> 私もこれに1票。
> で、おそらく↓と同じようなことが起きているのではないかと予想。
さんざん言われてるけど、その予想は
アプリはそのままでトークンの再発行をするだけで問題が解決するという事実と矛盾してる
あとそのサイトに記載されているが
> The issue occurs with 64-bit devices only, no problem with 32-bit devices.
とかねぇ
iOS9.2(64bit)側の実装の変化だろそれとしか
Re: (スコア:0)
なるほど。
対応版アプリをiOSアップデート前に一度起動する必要があるところから、想像するに、
アプリ起動時にiOSのバージョンを見て、「サーバと共有してる秘密鍵かなんか」を、
処理を追加したんだろうね。
Re: (スコア:0)
> # 単にみんな、 Vasco の製品使ってただけだったりして
スクエニのハードウェアトークンがDIGIPASS GO 6なので、
ソフトウェアトークンもVasco製でしょうね。
三菱東京UFJや三井住友もVascoっぽいですね。
Re: (スコア:0)
「で、」で始まるサンドバッグ探し