アカウント名:
パスワード:
まず「WebViewからの認証がブロックされた」ことを開発者でなくユーザーが理解しないとほとんど意味がないたとえば悪意あるアプリがWebView経由でGoogleログインに偽装した画面を表示し、GoogleのIDとパスワードを剽窃する行為を防ぐには「WebViewとはどんな画面か」「そこにGoogleのID等をいれてはいけない」という事情をユーザー側が理解しないと結局防げないだろう真っ当なアプリがWebViewを使わない仕様に変わったところで、それがどういう事情に根ざしてるかユーザーが理解しないでいれば、結局はID剽窃目的のアプリのカモにされうる、というリスクは殆ど変わらないわ
地道に習慣を根付かせていくんじゃないですかね。わかりやすいルールであれば、より根付きやすい。ブラウザ経由であれば、一般的なブラウザ利用上の理解が通用するわけで、別途ルールを覚える必要がない。
サイト側が実施する従来からのセキュリティ上の配慮にしたって、必ずしもユーザーに広く理解されているとは限りませんよね。
中間者攻撃でログインフォームが改竄される可能性があるからと、サイトはログインフォームの段階からHTTPSで用意していても、理解のないユーザーは、HTTPアクセス時に改竄で挿入された偽ログインフォームを使ってしまうかもしれません。偽サイトによるフィッシングが判別しやすいようにと、サイトは一貫したドメイン名を使っていても、理解のないユーザーは、似ているだけの、あるいは似てもいないドメイン名の偽サイトを使ってしまうかもしれません。
だからといって、これらに意味がないとはされていないはずで。HTTPSとドメイン名、最低限のこの2つのルールだけはどうにか覚えて、どうにか確認してウェブを利用してほしいと。
「ブラウザ経由なら」という点に誤解がある
従来は偽ログインページをWebViewで表示させていたのを、偽Androidブラウザを作って表示させる仕様にされたら、たとえ「認証はブラウザから」というのが普及しても騙される可能性が高いから。なにせ偽ブラウザだからURL表示はいくらでも誤魔化せるしね。
アプリを偽造出来るところまで侵入されていたらどのみちアウトのような気が。
このストーリー、もともとアプリからGoogleアカウントに紐付けるためのログインにWebViewを使うや否やという話だと思うけど?
ブラウザでログイン済みならパスワードとIDの入力が不要だというところが味噌。ただしデフォルトのブラウザでグーグルのアカウントにログインしていないと意味がない。ついでにパスワードとIDを盗みたい場合デフォルトのブラウザをユーザーに無断で変更する、偽のブラウザをインストールするなどという回りくどいことをする必要はないな。ただ単にグーグルのログイン画面を模倣した偽の入力フォームをアプリ内で表示するか偽のログインページをブラウザで開けば済む話。正直URLの偽装なんてしなくても大量に釣れるしURLを偽装したいならアプリ内でやればいい(アプリの切り替え風のアニメーションもつけとくとなお良い)。
マジ迷惑です。
ユーザーにとっては、PokemonGOの認証がこの仕様になって、会社のメールアカウントでログインしているつもりが勝手に個人のメールボックスにはや代わりしていたりして、混乱の元にしかなっていません。
Googleは勝手に個人IDと統合しようとする癖があるので、管理者側も被害者にしかならないと思うので、やめてほしい。
これを機会に業務用と個人用を分割してみては。業務用途のみリモート接続にするとか。
個人用のアカウントと仕事用のアカウントを分ければ済むだろ。http://usedoor.jp/howto/digital/android-smartphone/android5-multi-acco... [usedoor.jp]
>UIWebView/WKWebView on iOS,
androidだとは思ったのですが、iOSの可能性もあるのかなと思いまして。PokemonGOやっていないので、双方の詳しい動作分からないんですよね。
そのへんは過渡期なんでそのうちなれるでしょ。認証するときにどのアカウントで認証するか表示されません?まあ会社のアカウントはメーラーだけに登録するのかいい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
意味あるか? (スコア:1)
まず「WebViewからの認証がブロックされた」ことを開発者でなくユーザーが理解しないとほとんど意味がない
たとえば悪意あるアプリがWebView経由でGoogleログインに偽装した画面を表示し、GoogleのIDとパスワードを剽窃する行為を防ぐには「WebViewとはどんな画面か」「そこにGoogleのID等をいれてはいけない」という事情をユーザー側が理解しないと結局防げないだろう
真っ当なアプリがWebViewを使わない仕様に変わったところで、それがどういう事情に根ざしてるかユーザーが理解しないでいれば、結局はID剽窃目的のアプリのカモにされうる、というリスクは殆ど変わらないわ
Re:意味あるか? (スコア:2)
地道に習慣を根付かせていくんじゃないですかね。
わかりやすいルールであれば、より根付きやすい。
ブラウザ経由であれば、一般的なブラウザ利用上の理解が通用するわけで、別途ルールを覚える必要がない。
サイト側が実施する従来からのセキュリティ上の配慮にしたって、必ずしもユーザーに広く理解されているとは限りませんよね。
中間者攻撃でログインフォームが改竄される可能性があるからと、サイトはログインフォームの段階からHTTPSで用意していても、理解のないユーザーは、HTTPアクセス時に改竄で挿入された偽ログインフォームを使ってしまうかもしれません。
偽サイトによるフィッシングが判別しやすいようにと、サイトは一貫したドメイン名を使っていても、理解のないユーザーは、似ているだけの、あるいは似てもいないドメイン名の偽サイトを使ってしまうかもしれません。
だからといって、これらに意味がないとはされていないはずで。
HTTPSとドメイン名、最低限のこの2つのルールだけはどうにか覚えて、どうにか確認してウェブを利用してほしいと。
Re: (スコア:0)
「ブラウザ経由なら」という点に誤解がある
従来は偽ログインページをWebViewで表示させていたのを、偽Androidブラウザを作って表示させる仕様にされたら、たとえ「認証はブラウザから」というのが普及しても騙される可能性が高いから。
なにせ偽ブラウザだからURL表示はいくらでも誤魔化せるしね。
Re: (スコア:0)
アプリを偽造出来るところまで侵入されていたらどのみちアウトのような気が。
Re: (スコア:0)
このストーリー、もともとアプリからGoogleアカウントに紐付けるためのログインにWebViewを使うや否やという話だと思うけど?
Re: (スコア:0)
ブラウザでログイン済みならパスワードとIDの入力が不要だというところが味噌。ただしデフォルトのブラウザでグーグルのアカウントにログインしていないと意味がない。
ついでにパスワードとIDを盗みたい場合デフォルトのブラウザをユーザーに無断で変更する、偽のブラウザをインストールするなどという回りくどいことをする必要はないな。
ただ単にグーグルのログイン画面を模倣した偽の入力フォームをアプリ内で表示するか偽のログインページをブラウザで開けば済む話。
正直URLの偽装なんてしなくても大量に釣れるしURLを偽装したいならアプリ内でやればいい(アプリの切り替え風のアニメーションもつけとくとなお良い)。
Re: (スコア:0)
マジ迷惑です。
ユーザーにとっては、PokemonGOの認証がこの仕様になって、
会社のメールアカウントでログインしているつもりが
勝手に個人のメールボックスにはや代わりしていたりして、
混乱の元にしかなっていません。
Googleは勝手に個人IDと統合しようとする癖があるので、
管理者側も被害者にしかならないと思うので、やめてほしい。
Re: (スコア:0)
これを機会に業務用と個人用を分割してみては。
業務用途のみリモート接続にするとか。
Re: (スコア:0)
個人用のアカウントと仕事用のアカウントを分ければ済むだろ。
http://usedoor.jp/howto/digital/android-smartphone/android5-multi-acco... [usedoor.jp]
Re: (スコア:0)
>UIWebView/WKWebView on iOS,
androidだとは思ったのですが、iOSの可能性もあるのかなと思いまして。
PokemonGOやっていないので、双方の詳しい動作分からないんですよね。
Re: (スコア:0)
そのへんは過渡期なんでそのうちなれるでしょ。認証するときにどのアカウントで認証するか表示されません?
まあ会社のアカウントはメーラーだけに登録するのかいい。