アカウント名:
パスワード:
>住基ネットや国民総背番号制推進派の方々が多かったように思いますし、>そういう方達はもちろん、UDIDに温存派ですよね。
問題の程度が違いますね。
たとえば、国民を識別できる番号について「第三者が勝手に他人の番号を割り出すことができ、またそれを集めることもできる」としたら問題でしょう。
UDIDについて言えば、そのような状態です。IOSアプリはUDIDを抜き放題で、オマケにアドレス帳なども抜き放題。外部送信も勝手にできます(「利用者確認のダイアログを出すこと」などの指針にはみな従っていません)。
ですので、UDIDとアドレス帳をセットで抜かれてしまえば、前述「第三者が勝手に他人の番号を割り出すことができ、またそれを集めることもできる」が簡単に遂行できます。
その点で、国民背番号制などとは問題のレベルが違います。IOSのセキュリティはとっくの昔から崩壊しているのですから。
ちょっと待った>(「利用者確認のダイアログを出すこと」などの指針にはみな従っていません)。
なんでそんなソフトがチェックに引っかからないの?Big Brotherは個人の思想^H^H情報管理をしたいわけだから,自身が規約に引っかからないようにするため?
#妄想だろうけど,位置情報を密かに集めていて,大事になってからバグだと言い逃れをした前歴はあるから,疑う価値は十分にあります.しかも,うちのデバイスからは,そのバグが削除されてないし.
>なんでそんなソフトがチェックに引っかからないの?>Big Brotherは個人の思想^H^H情報管理をしたいわけだから,>自身が規約に引っかからないようにするため?
まず、「確認ダイアログを出すのが基本方針」程度であれば、完全ブッチしてもAppleの審査は通ります。この辺は正直Appleもあまり見てないのが実情でしょう。アドレス帳を全部ぶっこ抜いて外部送信するのも簡単です。
その先として、本来は審査を通らないはずのマルチタスクAPIなどを使ったってAppleの審査を誤魔化す手段はたくさんあります。なにせ、「提出されたバイナリをブラックボックステストする」だけですからね。
たとえば、時限式で審査終わった後に仕込んだ動作を開始させてもいいですし、特定サーバにアクセスしたときにサーバ上に特定のキーファイルが置かれていたら仕込んだ動作を開始(=Appleの審査のときには動作しないようにする)などでもいいわけです。
ま、ランタイムでAPIを権限管理するような機構も無くバイナリ提出受けて実機でテストしても何一つ担保されない、ってのは当たり前なんだけどね。原理的にチェックできないし、だからチェックしてないし、そもそもチェックする気もないっしょ。Jobsがチェックしましたと言えばチェックしたと客は思ってる。だから逆説的に言って、本当にチェックする必要が無い。本質的に客は「安心」を求めてるのであって「安全」を求めてるわけじゃないんだよね。
セキュリティソフトを完全に締め出せばセキュリティ会社に見向きもされなくなる、みたいな画期的なセキュリティ対策も鋭意実施中。おかげでセキュリティ会社はiPhoneの話は一切しない。BlackHatでは毎回iPhoneネタ大盛況だけど一般人の目に触れなければOKと。
禁止APIについては使用するとApple側のツールチェックで引っかかってリジェクトされるはず、検索するとそれでリジェクトされたって経験が出てくるわけですが。
>>原理的にチェックできないし、だからチェックしてないし、そもそもチェックする気もないっしょ。原理的にって・・・具体的にどういう事か説明できますか?
横からです。
リジェクトされなかった、もしくは「後から」リジェクトされた、というケースも多く見かけるはずです。これはとりもなおさず、監査ツールによるチェックが行われて自動的に撥ねるようになっているわけではなく、何らかの条件で(人力で)抜き打ちチェックしていることになります。
「原理的」の部分については元ACがどういう意味で言っているかは分かりませんが、とりあえずiOSはサンドボッ
うん、それが出来たら苦労はないんだけどね。AndroidとかWindowsPhoneと違ってそこで監視出来ないからiOSはセキュリティ脆弱って言われてるんだわ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
/.Jの多数派 (スコア:0)
そういう方達はもちろん、UDIDに温存派ですよね。
それとも、政府がやるのには賛成だけど、民間企業には反対?
Re: (スコア:2, 興味深い)
>住基ネットや国民総背番号制推進派の方々が多かったように思いますし、
>そういう方達はもちろん、UDIDに温存派ですよね。
問題の程度が違いますね。
たとえば、国民を識別できる番号について
「第三者が勝手に他人の番号を割り出すことができ、またそれを集めることもできる」
としたら問題でしょう。
UDIDについて言えば、そのような状態です。
IOSアプリはUDIDを抜き放題で、オマケにアドレス帳なども抜き放題。
外部送信も勝手にできます
(「利用者確認のダイアログを出すこと」などの指針にはみな従っていません)。
ですので、UDIDとアドレス帳をセットで抜かれてしまえば、
前述
「第三者が勝手に他人の番号を割り出すことができ、またそれを集めることもできる」
が簡単に遂行できます。
その点で、国民背番号制などとは問題のレベルが違います。
IOSのセキュリティはとっくの昔から崩壊しているのですから。
Re: (スコア:0)
ちょっと待った
>(「利用者確認のダイアログを出すこと」などの指針にはみな従っていません)。
なんでそんなソフトがチェックに引っかからないの?
Big Brotherは個人の思想^H^H情報管理をしたいわけだから,自身が規約に引っかからない
ようにするため?
#妄想だろうけど,位置情報を密かに集めていて,大事になってからバグだと言い逃れを
した前歴はあるから,疑う価値は十分にあります.しかも,うちのデバイスからは,
そのバグが削除されてないし.
Re: (スコア:2, 興味深い)
>なんでそんなソフトがチェックに引っかからないの?
>Big Brotherは個人の思想^H^H情報管理をしたいわけだから,
>自身が規約に引っかからないようにするため?
まず、「確認ダイアログを出すのが基本方針」程度であれば、
完全ブッチしてもAppleの審査は通ります。
この辺は正直Appleもあまり見てないのが実情でしょう。
アドレス帳を全部ぶっこ抜いて外部送信するのも簡単です。
その先として、本来は審査を通らないはずのマルチタスクAPIなどを使ったって
Appleの審査を誤魔化す手段はたくさんあります。
なにせ、「提出されたバイナリをブラックボックステストする」だけですからね。
たとえば、時限式で審査終わった後に仕込んだ動作を開始させてもいいですし、
特定サーバにアクセスしたときに
サーバ上に特定のキーファイルが置かれていたら仕込んだ動作を開始
(=Appleの審査のときには動作しないようにする)などでもいいわけです。
Re: (スコア:0)
ま、ランタイムでAPIを権限管理するような機構も無くバイナリ提出受けて実機でテストしても何一つ担保されない、ってのは当たり前なんだけどね。
原理的にチェックできないし、だからチェックしてないし、そもそもチェックする気もないっしょ。
Jobsがチェックしましたと言えばチェックしたと客は思ってる。だから逆説的に言って、本当にチェックする必要が無い。本質的に客は「安心」を求めてるのであって「安全」を求めてるわけじゃないんだよね。
セキュリティソフトを完全に締め出せばセキュリティ会社に見向きもされなくなる、みたいな画期的なセキュリティ対策も鋭意実施中。おかげでセキュリティ会社はiPhoneの話は一切しない。BlackHatでは毎回iPhoneネタ大盛況だけど一般人の目に触れなければOKと。
Re: (スコア:0)
禁止APIについては使用するとApple側のツールチェックで引っかかって
リジェクトされるはず、検索するとそれでリジェクトされたって経験が出てくるわけですが。
>>原理的にチェックできないし、だからチェックしてないし、そもそもチェックする気もないっしょ。
原理的にって・・・具体的にどういう事か説明できますか?
Re: (スコア:0)
横からです。
リジェクトされなかった、もしくは「後から」リジェクトされた、というケースも多く見かけるはずです。
これはとりもなおさず、監査ツールによるチェックが行われて自動的に撥ねるようになっているわけではなく、何らかの条件で(人力で)抜き打ちチェックしていることになります。
「原理的」の部分については元ACがどういう意味で言っているかは分かりませんが、とりあえずiOSはサンドボッ
Re: (スコア:0)
Re:/.Jの多数派 (スコア:0)
うん、それが出来たら苦労はないんだけどね。
AndroidとかWindowsPhoneと違ってそこで監視出来ないからiOSはセキュリティ脆弱って言われてるんだわ。