パスワードを忘れた? アカウント作成
7787569 story
iOS

Apple、App Storeでの通信をすべてHTTPS化 25

ストーリー by headless
通信 部門より
Appleは最近、App Storeで表示するアクティブコンテンツをHTTPSで送信するようになったそうだ(Apple Web Server notificationsElie Bursztein氏のブログ記事Ars Technicaの記事本家/.)。

App Storeではログイン情報の送信などについては以前からHTTPSを使用しているが、画面に表示するアプリ情報ページなどについてはHTTPで送信されていた。昨年7月に問題を指摘したGoogleのElie Bursztein氏によれば、同じローカルネットワークに接続した攻撃者が偽のダイアログボックスを表示してパスワードを入力させることや、ユーザーが選択したのとは別のアプリをインストールさせることなどが可能だったという。また、アプリの更新をチェックするためにインストール済みアプリの一覧をHTTPで送信していたため、攻撃者は容易にインストール済みアプリを知ることができたとのこと。なお、Bursztein氏のブログでは先週修正されたと記載されているが、Appleのお知らせによると1月23日に修正されていたようだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • SSLのコスト (スコア:4, 参考になる)

    by iwakuralain (33086) on 2013年03月11日 9時42分 (#2340554)

    やっぱりこのへんがネックなんですよね。

    金額的なものやサイトの作りが影響する場合もありますけど、SSLにするとパフォーマンスはどうしても落ちてしまうんですよね。
    その分を補うためにあれこれしないといけない部分も発生しますし。

    # 大抵はベリサインでいいんですけど、費用から考えてほかのマイナーな発行機関にすることもあります。
    # でもマイナーなところだと多段認証時に時間がかかることがって
    # ベリサインだと100msで認証が終わるけどマイナーなところだと300msかかるみたいなことがあって
    # 微々たる差ではありますがアクセス数によっては体感できるほどの差が発生するので
    # 証明書の発行機関も色々な要素を見て決定しないといけない場合もあります。

    • by Anonymous Coward

      そうなんですか。
      ベリサインの一番安いヤツをつかってますが、2年ほど前から、

      ルート証明書→中間証明書2つ→サーバ証明書

      になって、中間証明書が1つ増えたのですが、これはどの程度影響があるんだろう。
      それなら、ECCとRSAのハイブリッドもありかと思い、ちょっと調べてみたら、
      一番安いやつは、非対応ですね。なるほど。

    • by Anonymous Coward

      これはTLS + Basic Auth かな?
      2-way TLS handshakeつまりクライアント証明書認証だと更に倍ですよね。

  • モバイル環境だと特にHTTPでのやり取り開始までのオーバーヘッドが遅延の原因になってイヤなんだけど、
    TLS false startとかsnap startとかって普及し始めてるの?
    てか、まだドラフト段階なんだったっけ?

    --
    屍体メモ [windy.cx]
  • by Anonymous Coward on 2013年03月10日 17時37分 (#2340305)

    リワード広告など、Safariを立ち上げて処理をかけるような広告システムに影響あるんですかね?

    • by Anonymous Coward

      関係無いでしょ、AppStoreの話だし。

  • by Anonymous Coward on 2013年03月10日 18時05分 (#2340312)

    PlayとかWindows8のとかWindowsPhoneなんかはアプリに付与された権限が表示されるわけですが、
    あれは信頼できる通信路で送られてるんだろうか?

    • Re:他所は? (スコア:3, 参考になる)

      by Anonymous Coward on 2013年03月10日 18時15分 (#2340325)

      Windowsストアの紹介ページ(apps.microsoft.com)はWebブラウザでアクセスする限り暗号化されてないね(ストアのアプリで見たときどうなのかは知らね)。
      PlayはGoogleの他のサービス同様、完全にHTTPS化されているようだ(同じくAndroidスマートフォンで見たときどうなのかは知らね)

      親コメント
  • by Anonymous Coward on 2013年03月10日 20時10分 (#2340382)

    昔、某ハードメーカのドライバダウンロードサイトでハッシュ値まで表示していて、
    その時は慎重だな、と思ったものですが、サイト自体はSSLではないので
    あまり意味が無かったのではないか、なんて思いました。

    アプリストアの類は利用した事が無いですが、料金の支払いが行われるのに
    SSLが使われていなかった、と言うのもよく判りませんが…
    支払いとそのための認証は別に行われている、という事なのでしょうけど。

    ダウンロードするソフトウェアや情報も証明書付きのサイトの方が安心できます。
    企業が情報を提供するサイトはすべて証明書付きにすべき、なんて(^^;

    • by Anonymous Coward on 2013年03月10日 22時20分 (#2340433)

      銀行のサイトで、インターネットバンキングのページだけHTTPSなのが理解できん。
      そんなにSSLの負荷は高いの?

      しかも、その銀行とは関係無さそうな別ドメインの共有サイトに置いてるのに、HTTPのページからリンクしてて、注意事項も書いてないし。

      親コメント
      • by Anonymous Coward on 2013年03月11日 0時19分 (#2340484)

        本当は全部SSLにしたいんだけど、現実問題性能が半分以下になるのよね。
        それを補える性能の危機となると、倍の値段じゃ済まないので、HTTPを禁止できない。

        というのが表向きの理由なんだけど、問題があった時のリスクを正しく見積もれてないからだと思うよ。
        コールセンターの電話番号とか書き換えられたらヤバイんだけどなー。上手く伝えれない。

        親コメント
    • by Anonymous Coward on 2013年03月10日 22時44分 (#2340444)

      うーん、ハッシュは改ざんを防ぐと言うよりは
      ダウンロードしたファイルが一部壊れてたとかを防ぐためじゃないかな?

      まあ、たいてい圧縮ファイルだと思うので、ダウンロードしたファイルが壊れてたからといって
      一部壊れたドライバをインストールすることになるケースがどれだけあるかはわからないけど…

      親コメント
      • by Anonymous Coward

        一部壊れたアーカイブを解凍できない問い合わせに応えるコストはいくらか低減できたんじゃないかしら

        • by Anonymous Coward

          壊れたアーカイブで問い合わせるようなやつがハッシュ値計算して確認するとは思えない

    • by Anonymous Coward

      ○リサインのステマです?

      • by Anonymous Coward
        結局、SSLの普及を一番妨げているのはVerisignとかが高いせいだよな。
        発行先の真正性検証に多少の金がかかるのは理解するが、単に通信経路での盗聴を防ぐだけの暗号利用の方法を考えないといけないと思う。
        • by Anonymous Coward

          通信相手が誰かわからんでも暗号化したいってんなら、オレオレ証明書でいいじゃん。

          • by Anonymous Coward

            誤:通信相手が誰かわからんでも暗号化したいってんなら
            正:通信相手が予め判っていて証明書の正当性を自力で検証できるなら

        • by Anonymous Coward

          ちなみに国内ではVerisignなど高くても信頼性の高いものが多いけど、海外ではそうじゃない模様。
          おかげさまでEV SSL証明書とか出来る始末

  • by Anonymous Coward on 2013年03月10日 21時44分 (#2340413)

    すごい今更感がする

  • by Anonymous Coward on 2013年03月10日 22時26分 (#2340435)

    ローカルネットワークにアクセスされた時点で、たいていアウトだと思うけど・・・

    ローカルネットに知らない端末が繋がっている構成の時もたまにあるから(公衆無線LANなど?)
    でもそんなところであまりアプリのインストールはしない方がいいよね。

  • by Anonymous Coward on 2013年03月11日 21時54分 (#2341103)
    署名が無効とやらで、ここしばらくiTunesをアップデートできない。
typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...