パスワードを忘れた? アカウント作成

iOSで突然表示されるログインポップアップにご注意を」記事へのコメント

  • by Anonymous Coward

    別にAppleに限った話じゃなくない?
    Androidはアプリ自体の購入はした事あるけど、アプリ内購入はした事ないからわかんない。
    Windows PhoneはもうMSがおしまいって言ってるし、今更だなぁ。
    あとは、ストアアプリか。
    アプリ内購入した事はあるけど、あんまり開発に関わってないからわからない。
    Webの決済画面とかは、もうそれってまさにフィッシングまんまで目新しくもないよね。

    そして、Appleの審査がもしこんな手法をはじけないなら、さすがに何の為の審査だよ、って感じだよね。

    • by Anonymous Coward on 2017年10月11日 18時09分 (#3294131)

      ブラウザやPCアプリでも同じ問題があるよね.
      UACとか工夫しても,似たものは防げない気がする.

      • by Anonymous Coward

        程度の問題としてiOSは確認ダイアログを出しすぎる、多様性がないので悪意ある側がそれを真似るのがとても簡単、UACのような仕組みもないというダメダメダメだからね

        批判されるのは当然。だからこそ改善するという方向につながる

      • by Anonymous Coward

        私も以前からPC使ってて思ってました。この認証ダイアログボックスは本物だろうか?とか。

        OSのセットアップ時や新規ユーザー追加時に、ユーザーにOSの認証ダイアログボックスで表示する適当な文字列(或いは画像でもいいかも)を入力させるのはどうだろうか?もちろんその文字列は暗号化した状態で保存され、OSの専用認証ダイアログボックスで表示されるようにする。(Webサイトの認証でそういうのなかったっけ?)

        そうすれば、その文字列が何らかの方法で読み取られない限りは、偽認証ダイアログボックスを判別できるんじゃないか。OSの特権昇格時等はこれでいいとしても、アプリ固有の認証(何らかのネット上のアカウントとか)は他のアプリ(というかマルウェア)から分からないように、アプリ各々に文字列が必要になるのか。そういう機能のライブラリが欲しいかも。

        • by Anonymous Coward

          認証系のダイアログにおいて、ユーザが事前に登録しておいた特定の文言や画像を出すことで正当性確認を強化する仕組みはずっと昔からあるぞ

          • by Anonymous Coward

            Windowsの場合ってもしかして、アカウントの画像がそれに該当するのか?(あの画像はアプリから読み取られることはないのか?)

            #わたしゃ馬鹿だな…

            • by Anonymous Coward on 2017年10月12日 2時01分 (#3294317)

              たとえばこういうの

              http://www.jp-bank.japanpost.jp/direct/pc/security/drsecurity/dr_pc_sc... [japanpost.jp]

              の「ログイン時の画像表示」の部分

              郵貯以外にもいくらでも採用例があり、とりあえず自分が知ってる限り2000年代前半から実用サービスでも見かけている

              • by Anonymous Coward

                Yahooのアカウントでも一時期ありましたね。

                >いくらでも採用例があり
                確かにあるといえばあるけれども、以前からあるのに普及率は高くないような気がします。あまり効果がないのでしょうか…個人的にはあった方が良い気はしますが。

                Windowsのアカウント画像のファイルを見つけたけど(フォルダ名がそのままだし)、他アカウントから読めないように保護されてはいるものの暗号化されてないような気が…該当しないということか…

            • by Anonymous Coward

              Windowsで中国人?音声メッセージのポップアップやログイン出す奴に最近当ったな
              タスクマネージャーで強制終了させたが海外系は見て回るだけで何かとぶち当たるからうざくて仕方ない

      • by Anonymous Coward

        デスクトップでLinuxを使ってて似たような疑問が浮かんだことはある。
        GUIアプリがsudo権限を要求する時にダイアログが出るけど、本当にOSが出してるダイアログなのか判別する方法を知らないなーって。
        まあそのアプリにsudoさせてる時点で悪意があったら何でもできるわけだから、大した問題ではないんだろうけど。

        • by Anonymous Coward

          > まあそのアプリにsudoさせてる時点で悪意があったら何でもできるわけだから、大した問題ではないんだろうけど。
          言ってる意味がよく分からない。
          ローカルでアプリケーションが実行されているから、脆弱性を突けば何でも出来るってこと?

アレゲは一日にしてならず -- アレゲ研究家

処理中...