アカウント名:
パスワード:
で、原因は何なの?トークンのもとになるIDか乱数が変わったの?
> トークンのもとになるIDか乱数が変わったの?
推測だけど、トークンの新規発行や既存トークンの検証で使えるアルゴリズムやキー長など強度条件がiOS9.2で一方的に減らされたんだろうんで切られた強度条件で発行していた既存トークンが死亡iOS9.2でも引き続き使える強度条件でトークンを再発行すればいい、とかそんなんが濃厚
その先としてなんで黙って減らすような真似してきたのか?って話になると、これまでのiOSの該当強度条件の実装に致命的脆弱性とかあって苦し紛れに皆殺しにしてきてるんじゃねとかそんな話になるけどこの辺はAppleは絶対に情報公開しないだろうから推測からは進まないね
セキュリティにについてAppleの秘密体質には付き合うだけ無駄
多分いちばん一般的な仕様であろう OATH TOTP は HMAC HASH しかつかわないので、SHA-1 が切られて、あわてて SHA256 に切り替えたとかそんなの?
HMAC-SHA1は廃止の対象外のはずだが(通常のSHA1のような大幅な弱点はまだ見つかっていない)。SSL/TLSの暗号スイートでも(AEADのものを除いて)SHA1とは実はHMAC-SHA1のことだから廃止対象になっていないし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
あいかわらず、互換性をぶっ飛ばす (スコア:0)
で、原因は何なの?
トークンのもとになるIDか乱数が変わったの?
Re: (スコア:1)
> トークンのもとになるIDか乱数が変わったの?
推測だけど、
トークンの新規発行や既存トークンの検証で使えるアルゴリズムやキー長など強度条件がiOS9.2で一方的に減らされたんだろう
んで切られた強度条件で発行していた既存トークンが死亡
iOS9.2でも引き続き使える強度条件でトークンを再発行すればいい、とかそんなんが濃厚
その先としてなんで黙って減らすような真似してきたのか?って話になると、
これまでのiOSの該当強度条件の実装に致命的脆弱性とかあって
苦し紛れに皆殺しにしてきてるんじゃねとかそんな話になるけど
この辺はAppleは絶対に情報公開しないだろうから推測からは進まないね
セキュリティにについてAppleの秘密体質には付き合うだけ無駄
Re:あいかわらず、互換性をぶっ飛ばす (スコア:1)
多分いちばん一般的な仕様であろう OATH TOTP は HMAC HASH しかつかわないので、SHA-1 が切られて、あわてて SHA256 に切り替えたとかそんなの?
Re: (スコア:0)
HMAC-SHA1は廃止の対象外のはずだが(通常のSHA1のような大幅な弱点はまだ見つかっていない)。SSL/TLSの暗号スイートでも(AEADのものを除いて)SHA1とは実はHMAC-SHA1のことだから廃止対象になっていないし。