アカウント名:
パスワード:
利用者少なかったから放置気味だったんでしょうかね〜
これは仕様の話だとおもいますけどね。VPN接続開始で既存の接続を切って良いのかって話で、切らない挙動も多い(むしろそれが大多数では?)と思いますよ。Appleはエンドユーザーに選択させる事で複雑化させるのを嫌うので有る程度は致し方なしかも。
VPN常時接続をもっと手軽にMDMなしで使えるようにさせてくれって方向で攻めるべきかと。
私としては目的がVPNなら既存の接続は切れるというか、VPN先を向いてそれで繋がるなり接続断なりになるべきだと思いますが、ProtonVPNってサーバーにプロキシ接続に行くものでいいのでしょうか。それなら原理的にAppleの言い分もProtonVPNの言い分も妥当なんだろうなと思います。
VPN自体プロキシとよく似たものではある。中継のレイヤがより低くより多様な通信をサーバ経由で行える。
VPNは本来仮想のプライベートネットワーク内にアクセスするためのもので、運用によってはグローバルIPアドレスへの接続はVPN接続中でもVPN非経由とかもありうる物。端末にネットワークインタフェイスが一個増えるだけで上になにかかぶせるような物ではない。# のでVPN張っても物理の出口ポート指定通信やら着信接続は通るのもあるある。
また、VPN経由で再接続というのは既存の接続を無理やり切って、各アプリケーションが勝手に再接続するのに任せるだけのもの。アプリケーションが再接続しなければ切れて終わり。なにかダウンロードしている最中に切断が起きた場合、ただエラーで終了するアプリケーションは正直多い。
以前のバージョンのiOSではどういう挙動だったのかが気になる。そういうポリシーに変えたのか、意図しない不具合なのかで若干話が変わってくる。
以前が指す時期にもよるが、当初はサードパーティがVPN機能を提供すること自体、できなかった。おそらくAPIそのものは存在していたと思われるが、APIの諸元等は公開されず、動作どころか開発(ビルド)に必要な権限すら取得できない状態だった。当時、一般の開発者にできることは、VPNの接続確立/解放を指示することと、VPNの状態を取得することだけ。
NetworkExtensionが利用できるようになって、ようやくそうした状況から開放された。https://developer.apple.com/documentation/networkextension [apple.com]
脆弱性を承知で仕様として組み込むとか酷すぎるだろiOS
信者が欠陥品をありがたって買い取るのがいけない。信者であっても、欧州連合のようにAPPLEを糾弾する必要がある。
そもそも、
1. 特に重要な情報をやりとりないので、普段はHTTPなどの平文接続で繋いでいる状態2. よし、ここからは重要な情報を送るので通信を暗号化しよう、とVPNをONに
という状況がかなりニッチに思える。で、TCPの仕様からして、そうやった場合に得られる結果は、
a. 1で繋いだ接続が切られた上、再接続以降はVPNを通して暗号化されるb. 1で繋いだ接続はそのまま。そのままなのでVPNも通らず暗号化もされない
のどっちかになるわけで、そんなニッチな使い方をするユーザの期待する動作はaじゃないかなぁ。
c. 1で繋いだ接続が維持された上で、それ以降のやりとりは暗号化され
既存コネクションはそのまま非VPN、新規コネクションからVPN経由なんて感じでは?VPNセッション張るだけでSSHとかのセッションが切られるとか困る。
VPN本来の目的は安全な拠点間通信であって、暗号化はその手段に過ぎません。VPNをプライバシー保護に応用しているようなユーザは(a)の動作を期待するでしょうが、VPN接続の度にファイルコピーやリモート接続が中断されるのでは企業ユーザが困ります。OSの機能としては既存の接続はそのままにしておき、ユーザが必要に応じて切断するか、特権を付与されたアプリケーションが一括切断するのが筋でしょう。
そもそもVPNってそんなコロコロ接続切断する為のものではないのでは?と。接続切断が社内LANケーブル抜き差しなイメージ。
窓で社内LAN接続に使ってたけど、別ストーリーのような窓のトラブルの存在すら知らなかったし。
VPNって言葉と私のイメージについて。間違っていたら優しく教えてほしい。
私のような老人がイメージするVPNはSSLVPNとかIPsecVPNとか呼ばれる。Windowsだと設定するとネットワークアダプタに仮想NICがインストールされるようなもので、レイヤ2の対応であって既存のコネクションもVPN先を向くべきだ。
今時のVPNは、中国からTwitterが見れたり日本から米国のNetflixが見れたりするようなものだと思う。Windowsではインターネットオプションでプロキシ設定を変えるようなことで、レイヤ3での対応であってWindowsでも既存のコネクションの向きは変わらないと思っている。これは老人のVPNではないため、Windowsの脆弱性と呼ぶ人もいない。
NICの変更と追加では話が違うんじゃない?インターネット接続するために携帯電話をつないだらWifiやLAN経由のコネクションも全部携帯電話経由になったら困るわけだし。
老人のイメージするVPNも大抵はL3だよ。L2は特殊な用途でしか見かけない。OS標準なら、仮想NICでなくダイアルアップ接続(rasとかppとかtap/tun)が追加される。非標準だと仮想NICデバイスが追加されてL2っぽく見える事もあるけどね。ただ、L2 VPNや仮想NICなVPNだとしても、現象としては一緒。Wi-Fi接続中にLANケーブル差し込んだら、毎回Wi-Fiの接続での通信が切れて有線になってダウンロードとか作業をやり直した方が嬉しい?LTEでIP電話中に自宅や会社の無線LANエリアに入ってWi-Fi接続したらIP電話切れた方が嬉しい?大抵はちがうよね。
本件に関しては他のアプリの通信を切るのはどうなの?という観点から現状の制限は仕方ないとも思う。が、常時VPNを簡単には使わせないAppleも糞だと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
しかしVPN絡み続きますね (スコア:0)
利用者少なかったから放置気味だったんでしょうかね〜
Re:しかしVPN絡み続きますね (スコア:1)
これは仕様の話だとおもいますけどね。
VPN接続開始で既存の接続を切って良いのかって話で、切らない挙動も多い(むしろそれが大多数では?)と思いますよ。
Appleはエンドユーザーに選択させる事で複雑化させるのを嫌うので有る程度は致し方なしかも。
VPN常時接続をもっと手軽にMDMなしで使えるようにさせてくれって方向で攻めるべきかと。
Re:しかしVPN絡み続きますね (スコア:1)
私としては目的がVPNなら既存の接続は切れるというか、VPN先を向いてそれで繋がるなり接続断なりになるべきだと思いますが、
ProtonVPNってサーバーにプロキシ接続に行くものでいいのでしょうか。それなら原理的にAppleの言い分もProtonVPNの言い分も
妥当なんだろうなと思います。
Re: (スコア:0)
VPN自体プロキシとよく似たものではある。
中継のレイヤがより低くより多様な通信をサーバ経由で行える。
VPNは本来仮想のプライベートネットワーク内にアクセスするためのもので、
運用によってはグローバルIPアドレスへの接続はVPN接続中でもVPN非経由とかもありうる物。
端末にネットワークインタフェイスが一個増えるだけで上になにかかぶせるような物ではない。
# のでVPN張っても物理の出口ポート指定通信やら着信接続は通るのもあるある。
また、VPN経由で再接続というのは既存の接続を無理やり切って、
各アプリケーションが勝手に再接続するのに任せるだけのもの。
アプリケーションが再接続しなければ切れて終わり。
なにかダウンロードしている最中に切断が起きた場合、
ただエラーで終了するアプリケーションは正直多い。
Re:しかしVPN絡み続きますね (スコア:1)
以前のバージョンのiOSではどういう挙動だったのかが気になる。
そういうポリシーに変えたのか、意図しない不具合なのかで若干話が変わってくる。
昔のiOS (スコア:1)
以前が指す時期にもよるが、当初はサードパーティがVPN機能を提供すること自体、できなかった。
おそらくAPIそのものは存在していたと思われるが、APIの諸元等は公開されず、動作どころか開発(ビルド)に必要な権限すら取得できない状態だった。
当時、一般の開発者にできることは、VPNの接続確立/解放を指示することと、VPNの状態を取得することだけ。
NetworkExtensionが利用できるようになって、ようやくそうした状況から開放された。
https://developer.apple.com/documentation/networkextension [apple.com]
Re:しかしVPN絡み続きますね (スコア:1)
脆弱性を承知で仕様として組み込むとか酷すぎるだろiOS
Re: (スコア:0)
信者が欠陥品をありがたって買い取るのがいけない。信者であっても、欧州連合のようにAPPLEを糾弾する必要がある。
Re: (スコア:0)
そもそも、
1. 特に重要な情報をやりとりないので、普段はHTTPなどの平文接続で繋いでいる状態
2. よし、ここからは重要な情報を送るので通信を暗号化しよう、とVPNをONに
という状況がかなりニッチに思える。
で、TCPの仕様からして、そうやった場合に得られる結果は、
a. 1で繋いだ接続が切られた上、再接続以降はVPNを通して暗号化される
b. 1で繋いだ接続はそのまま。そのままなのでVPNも通らず暗号化もされない
のどっちかになるわけで、そんなニッチな使い方をするユーザの期待する動作はaじゃないかなぁ。
c. 1で繋いだ接続が維持された上で、それ以降のやりとりは暗号化され
Re: (スコア:0)
既存コネクションはそのまま非VPN、新規コネクションからVPN経由なんて感じでは?
VPNセッション張るだけでSSHとかのセッションが切られるとか困る。
Re: (スコア:0)
VPN本来の目的は安全な拠点間通信であって、暗号化はその手段に過ぎません。
VPNをプライバシー保護に応用しているようなユーザは(a)の動作を期待するでしょうが、VPN接続の度にファイルコピーやリモート接続が中断されるのでは企業ユーザが困ります。
OSの機能としては既存の接続はそのままにしておき、ユーザが必要に応じて切断するか、特権を付与されたアプリケーションが一括切断するのが筋でしょう。
Re: (スコア:0)
そもそもVPNってそんなコロコロ接続切断する為のものではないのでは?と。
接続切断が社内LANケーブル抜き差しなイメージ。
窓で社内LAN接続に使ってたけど、別ストーリーのような窓のトラブルの存在すら知らなかったし。
Re: (スコア:0)
VPNって言葉と私のイメージについて。間違っていたら優しく教えてほしい。
私のような老人がイメージするVPNはSSLVPNとかIPsecVPNとか呼ばれる。
Windowsだと設定するとネットワークアダプタに仮想NICがインストールされるようなもので、レイヤ2の対応であって
既存のコネクションもVPN先を向くべきだ。
今時のVPNは、中国からTwitterが見れたり日本から米国のNetflixが見れたりするようなものだと思う。
Windowsではインターネットオプションでプロキシ設定を変えるようなことで、レイヤ3での対応であって
Windowsでも既存のコネクションの向きは変わらないと思っている。
これは老人のVPNではないため、Windowsの脆弱性と呼ぶ人もいない。
Re: (スコア:0)
NICの変更と追加では話が違うんじゃない?
インターネット接続するために携帯電話をつないだら
WifiやLAN経由のコネクションも全部携帯電話経由になったら困るわけだし。
Re: (スコア:0)
老人のイメージするVPNも大抵はL3だよ。L2は特殊な用途でしか見かけない。
OS標準なら、仮想NICでなくダイアルアップ接続(rasとかppとかtap/tun)が追加される。
非標準だと仮想NICデバイスが追加されてL2っぽく見える事もあるけどね。
ただ、L2 VPNや仮想NICなVPNだとしても、現象としては一緒。
Wi-Fi接続中にLANケーブル差し込んだら、毎回Wi-Fiの接続での通信が切れて有線になってダウンロードとか作業をやり直した方が嬉しい?
LTEでIP電話中に自宅や会社の無線LANエリアに入ってWi-Fi接続したらIP電話切れた方が嬉しい?
大抵はちがうよね。
Re:毎度恒例の二重基準 (スコア:1)
本件に関しては他のアプリの通信を切るのはどうなの?という観点から現状の制限は仕方ないとも思う。
が、常時VPNを簡単には使わせないAppleも糞だと思う。