アカウント名:
パスワード:
仕組みを作る側も苦労してるのは分かるけど、複雑にすればするほど開発者の負担になる。開発者にとって、本来注力すべきはそのアプリ自体なのに。不十分な実装の原因が開発者に帰されるとしたら、今後アプリの作り手は減るんだろうな。
要するに、開発者が特段意識しないでいいくらいのライブラリがなきゃだめだろう、と。問題が見つかってもライブラリを更新するだけでいいくらいな。
でもってタレコみではそのライブラリがチェックしてねぇ!って言ってるんじゃない?
# そもそも開発者の負荷が高くなるからセキュリティチェックがザルで# いいという意見の段階で相手にする必要もないわけだが・・・
OpenSSLは証明書を見る見ないをプログラムで決められる。
opensslの0.9.7ぐらいまでだったか、付属のSSL通信のサンプルがサーバ証明書の検証をしていなかったんじゃなかったかな。これをコピペしてそのまま使う無能なIT土方が世界的に居て問題を引き起こしたらしく、仕方なく本家のサンプルが検証するように変更されたとか。(要出典)
> でもってタレコみではそのライブラリがチェックしてねぇ!って言ってるんじゃない?
iOSでは実際そういうバグ(とされています)がありましたが、今回の場合はアプリの作りが悪い(アプリ自身が持つSSL鍵の管理やSSL認証処理がずさん)ことが原因の話に見えます。
ただ、SSL証明書の厳密なチェックをすると、事業者側の運用負担も上がりますし、政府当局の監視などもやりづらくなるものですので、どこまでが本当に手落ちで、どこからが意図的なものかは正直判断がつきづらいのが実際のところ。
確かにアプリ開発者にとっては負担が増えることになるでしょうね。もしかしたらSSL証明書を売りたい事業者が・・・
単純に自分のサーバーと通信したいだけだったのに、わざわざ証明書とってSSLで通信させろってことでしょ自作CAで自分用の専用SSL証明書を使ってだとダメだと言われても・・銀行のアプリとかならわかるが、自作のくだらない(失礼)アプリにもってなると・・
># そもそも開発者の負荷が高くなるからセキュリティチェックがザルで># いいどうしたらそう読めるのか知りたいところだ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
そうは言っても (スコア:0)
仕組みを作る側も苦労してるのは分かるけど、複雑にすればするほど開発者の負担になる。
開発者にとって、本来注力すべきはそのアプリ自体なのに。
不十分な実装の原因が開発者に帰されるとしたら、今後アプリの作り手は減るんだろうな。
要するに、開発者が特段意識しないでいいくらいのライブラリがなきゃだめだろう、と。
問題が見つかってもライブラリを更新するだけでいいくらいな。
Re:そうは言っても (スコア:0)
でもってタレコみではそのライブラリがチェックしてねぇ!って言ってるんじゃない?
# そもそも開発者の負荷が高くなるからセキュリティチェックがザルで
# いいという意見の段階で相手にする必要もないわけだが・・・
Re:そうは言っても (スコア:2)
OpenSSLは証明書を見る見ないをプログラムで決められる。
Re:そうは言っても (スコア:1)
opensslの0.9.7ぐらいまでだったか、付属のSSL通信のサンプルがサーバ証明書の検証をしていなかったんじゃなかったかな。
これをコピペしてそのまま使う無能なIT土方が世界的に居て問題を引き起こしたらしく、
仕方なく本家のサンプルが検証するように変更されたとか。(要出典)
Re: (スコア:0)
> でもってタレコみではそのライブラリがチェックしてねぇ!って言ってるんじゃない?
iOSでは実際そういうバグ(とされています)がありましたが、
今回の場合はアプリの作りが悪い
(アプリ自身が持つSSL鍵の管理やSSL認証処理がずさん)ことが原因の話に見えます。
ただ、SSL証明書の厳密なチェックをすると、
事業者側の運用負担も上がりますし、
政府当局の監視などもやりづらくなるものですので、
どこまでが本当に手落ちで、
どこからが意図的なものかは正直判断がつきづらいのが実際のところ。
Re: (スコア:0)
確かにアプリ開発者にとっては負担が増えることになるでしょうね。
もしかしたらSSL証明書を売りたい事業者が・・・
単純に自分のサーバーと通信したいだけだったのに、わざわざ証明書とってSSLで通信させろってことでしょ
自作CAで自分用の専用SSL証明書を使ってだとダメだと言われても・・銀行のアプリとかならわかるが、自作のくだらない(失礼)アプリにもってなると・・
Re:そうは言っても (スコア:1)
自分のサーバーと自分のクライアントで閉じているのであれば、オレオレ証明書は十分意味があると思うんですよね。
そのCAを信じるのはクライアントの自由ですからね。
その場合でも、ちゃんとそのCAかあるいは配下にあるCAが発行した正しいサーバー証明書であることの検証はしなければならないと思いますが。
Re: (スコア:0)
># そもそも開発者の負荷が高くなるからセキュリティチェックがザルで
># いい
どうしたらそう読めるのか知りたいところだ。