アカウント名:
パスワード:
つまり、それ以前のバージョンには、まだ穴があるってこと?
よくわからない流れになってるみたいですけど、iOSとは縁がないものの興味があったのでちょこっと調べた感じだと攻撃の方法はDNSのレコードを変更してAppStoreのサーバーに対するリクエストを偽装サーバーにリダイレクトし、偽装サーバーがAppStoreのサーバーのエミュレーションを行うことで支払ったかのように見せることができる、というもののようですね。
その後の報道によると、Appleはこの攻撃を防ぐことはできなかった、ようで現時点では http://developer.apple.com/library/ios/#releasenotes/StoreKit/IAP_Rece... [apple.com] のMy app performs validation by connecting to the A
> 攻撃の方法はDNSのレコードを変更してAppStoreのサーバーに対する> リクエストを偽装サーバーにリダイレクトし、偽装サーバーがAppStoreのサーバーの> エミュレーションを行うことで
なんだか、数年前のMO/MMOの後付けプロテクション機構のハックを見ているかのようだ。
そのときプロテクション機構側がとった対策はFQDN以外にIPアドレスも埋め込んで、DNS問い合わせせずアクセスする手段を用意したという。
それもnext hop書き換えてインターネットへ出て行かないようにしてしまえば無意味という間抜けな結果になっていたと思うが、さてAppleはどう対応してくるのやら。
DNSSECに対応していないDNSサーバはiOS6で使えません、とか斜め上に行ってくれたら面白いのだけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
iOS 6では"完全"に修正? (スコア:0)
つまり、それ以前のバージョンには、まだ穴があるってこと?
Re: (スコア:5, 参考になる)
よくわからない流れになってるみたいですけど、iOSとは縁がないものの
興味があったのでちょこっと調べた感じだと
攻撃の方法はDNSのレコードを変更してAppStoreのサーバーに対する
リクエストを偽装サーバーにリダイレクトし、偽装サーバーがAppStoreのサーバーの
エミュレーションを行うことで支払ったかのように見せることができる、というものの
ようですね。
その後の報道によると、Appleはこの攻撃を防ぐことはできなかった、ようで
現時点では
http://developer.apple.com/library/ios/#releasenotes/StoreKit/IAP_Rece... [apple.com]
の
My app performs validation by connecting to the A
Re:iOS 6では"完全"に修正? (スコア:0)
> 攻撃の方法はDNSのレコードを変更してAppStoreのサーバーに対する
> リクエストを偽装サーバーにリダイレクトし、偽装サーバーがAppStoreのサーバーの
> エミュレーションを行うことで
なんだか、数年前のMO/MMOの後付けプロテクション機構の
ハックを見ているかのようだ。
そのときプロテクション機構側がとった対策はFQDN以外に
IPアドレスも埋め込んで、DNS問い合わせせずアクセスする
手段を用意したという。
それもnext hop書き換えてインターネットへ出て行かないように
してしまえば無意味という間抜けな結果になっていたと思うが、
さてAppleはどう対応してくるのやら。
DNSSECに対応していないDNSサーバはiOS6で使えません、とか
斜め上に行ってくれたら面白いのだけど。