アカウント名:
パスワード:
別にAppleに限った話じゃなくない?Androidはアプリ自体の購入はした事あるけど、アプリ内購入はした事ないからわかんない。Windows PhoneはもうMSがおしまいって言ってるし、今更だなぁ。あとは、ストアアプリか。アプリ内購入した事はあるけど、あんまり開発に関わってないからわからない。Webの決済画面とかは、もうそれってまさにフィッシングまんまで目新しくもないよね。
そして、Appleの審査がもしこんな手法をはじけないなら、さすがに何の為の審査だよ、って感じだよね。
ブラウザやPCアプリでも同じ問題があるよね.UACとか工夫しても,似たものは防げない気がする.
私も以前からPC使ってて思ってました。この認証ダイアログボックスは本物だろうか?とか。
OSのセットアップ時や新規ユーザー追加時に、ユーザーにOSの認証ダイアログボックスで表示する適当な文字列(或いは画像でもいいかも)を入力させるのはどうだろうか?もちろんその文字列は暗号化した状態で保存され、OSの専用認証ダイアログボックスで表示されるようにする。(Webサイトの認証でそういうのなかったっけ?)
そうすれば、その文字列が何らかの方法で読み取られない限りは、偽認証ダイアログボックスを判別できるんじゃないか。OSの特権昇格時等はこれでいいとしても、アプリ固有の認証(何らかのネット上のアカウントとか)は他のアプリ(というかマルウェア)から分からないように、アプリ各々に文字列が必要になるのか。そういう機能のライブラリが欲しいかも。
認証系のダイアログにおいて、ユーザが事前に登録しておいた特定の文言や画像を出すことで正当性確認を強化する仕組みはずっと昔からあるぞ
Windowsの場合ってもしかして、アカウントの画像がそれに該当するのか?(あの画像はアプリから読み取られることはないのか?)
#わたしゃ馬鹿だな…
たとえばこういうの
http://www.jp-bank.japanpost.jp/direct/pc/security/drsecurity/dr_pc_sc... [japanpost.jp]
の「ログイン時の画像表示」の部分
郵貯以外にもいくらでも採用例があり、とりあえず自分が知ってる限り2000年代前半から実用サービスでも見かけている
Yahooのアカウントでも一時期ありましたね。
>いくらでも採用例があり確かにあるといえばあるけれども、以前からあるのに普及率は高くないような気がします。あまり効果がないのでしょうか…個人的にはあった方が良い気はしますが。
Windowsのアカウント画像のファイルを見つけたけど(フォルダ名がそのままだし)、他アカウントから読めないように保護されてはいるものの暗号化されてないような気が…該当しないということか…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
他のOSはどうなのか (スコア:0)
別にAppleに限った話じゃなくない?
Androidはアプリ自体の購入はした事あるけど、アプリ内購入はした事ないからわかんない。
Windows PhoneはもうMSがおしまいって言ってるし、今更だなぁ。
あとは、ストアアプリか。
アプリ内購入した事はあるけど、あんまり開発に関わってないからわからない。
Webの決済画面とかは、もうそれってまさにフィッシングまんまで目新しくもないよね。
そして、Appleの審査がもしこんな手法をはじけないなら、さすがに何の為の審査だよ、って感じだよね。
Re: (スコア:0)
ブラウザやPCアプリでも同じ問題があるよね.
UACとか工夫しても,似たものは防げない気がする.
Re: (スコア:0)
私も以前からPC使ってて思ってました。この認証ダイアログボックスは本物だろうか?とか。
OSのセットアップ時や新規ユーザー追加時に、ユーザーにOSの認証ダイアログボックスで表示する適当な文字列(或いは画像でもいいかも)を入力させるのはどうだろうか?もちろんその文字列は暗号化した状態で保存され、OSの専用認証ダイアログボックスで表示されるようにする。(Webサイトの認証でそういうのなかったっけ?)
そうすれば、その文字列が何らかの方法で読み取られない限りは、偽認証ダイアログボックスを判別できるんじゃないか。OSの特権昇格時等はこれでいいとしても、アプリ固有の認証(何らかのネット上のアカウントとか)は他のアプリ(というかマルウェア)から分からないように、アプリ各々に文字列が必要になるのか。そういう機能のライブラリが欲しいかも。
Re: (スコア:0)
認証系のダイアログにおいて、ユーザが事前に登録しておいた特定の文言や画像を出すことで正当性確認を強化する仕組みはずっと昔からあるぞ
Re: (スコア:0)
Windowsの場合ってもしかして、アカウントの画像がそれに該当するのか?(あの画像はアプリから読み取られることはないのか?)
#わたしゃ馬鹿だな…
Re:他のOSはどうなのか (スコア:1)
たとえばこういうの
http://www.jp-bank.japanpost.jp/direct/pc/security/drsecurity/dr_pc_sc... [japanpost.jp]
の「ログイン時の画像表示」の部分
郵貯以外にもいくらでも採用例があり、とりあえず自分が知ってる限り2000年代前半から実用サービスでも見かけている
Re: (スコア:0)
Yahooのアカウントでも一時期ありましたね。
>いくらでも採用例があり
確かにあるといえばあるけれども、以前からあるのに普及率は高くないような気がします。あまり効果がないのでしょうか…個人的にはあった方が良い気はしますが。
Windowsのアカウント画像のファイルを見つけたけど(フォルダ名がそのままだし)、他アカウントから読めないように保護されてはいるものの暗号化されてないような気が…該当しないということか…