Apple、HTTPSを必須にする「ATSサポート」義務付けを延期 20
ストーリー by hylom
ぐだぐだ 部門より
ぐだぐだ 部門より
headless曰く、
Appleは21日、App Storeで公開するアプリに対するApp Transport Security(ATS)サポート義務付けの延期を発表した(Apple Developer、Neowin、Register)。
ATSはアプリが通信する際にHTTPSの使用を必須とすることでユーザーのセキュリティとプライバシーを改善する仕組みで、iOS 9とOS X 10.11で導入された。Appleは6月のWWDC 2016で、2016年末までにApp Storeに送られるアプリのATSサポートを義務付けると発表していた。延期はアプリ開発者に準備のための猶予を与えるためとのことで、新たな期限は改めて発表するとのことだ。
これってオレオレ証明書が使えない? (スコア:2)
半年ぐらい前にhttps必須がどうのこうのって話は聞いていたけど、
単にすべてのサーバアクセスをHTTPSにすりゃいいって話だと思ってました。
なのでATSって単語が出て少し「あれっ?」と思い調べてみたのですが
暗号強度とかサーバ証明書の有効性とかも求められてるのかな?
低セキュリティなアクセスを iOS側でがっちりブロックする
「セキュリティ機構」がATSであって、それを有効にしないことには
URLの文字列を http から https に変えるだけじゃダメってことですよね・・・?
↓とりあえず日本語情報探して、ここ読みました
[iOS 9] iOS 9 で追加された App Transport Security の概要 | Developers.IO
http://dev.classmethod.jp/smartphone/iphone/ios-9-intro-ats/ [classmethod.jp]
Re:これってオレオレ証明書が使えない? (スコア:1)
今時のまともなサーバならTLS1.2は使えるし、
今時のまともなCAはこの条件を満たさない証明書を発行したりしないので、
一般論としては
> 単にすべてのサーバアクセスをHTTPSにすりゃいいって話だと思ってました。
でいいはず。
これってRSSリーダーとかはどうするの? (スコア:1)
いちいち中継サーバとHTTPSで通信しろってこと?
Re: (スコア:0)
いまだにSのつかないHTTPなんて使ってるのが悪い
Re: (スコア:0)
私も真っ先にそれを心配しましたが
それ以前に、ブラウザはどうするんだという問題が
Re: (スコア:0)
義務ってことなんで・・・httpsをデフォルトにしろってこと?
オプションで変更がOKなら、大きな問題にならないと思うが・・
Re: (スコア:0)
例外に指定すればhttpも許可できるけど、基本httpsしか通信できないよ、って決まりだったはず。
例外に入れずにhttp通信しようとするとエラーになる。
Re: (スコア:0)
iOSアプリ開発をしていれば、わかりますが、特にWebアクセス系の通信に対してはこれを除外する設定が用意されています。
導入コスト (スコア:0)
Re: (スコア:0)
Let's Encryptでいいじゃないですか。いやまあ、それ以外にも選択肢が増えることを否定するわけではありませんが。
I have a ぺん! (スコア:0)
I have an apple!
あ”~っ!!!
HTTPS Socket!
驚いた (スコア:0)
予定通り実施せず延期したことに驚き
対応していないアプリを排除するくらいの方がAppleぽい気がする
Re:驚いた (スコア:1)
自分のとこのサービス提供してる奴の構成物の一部がダメだったとかだったりして。。
キャッシュサーバーが効かなくなった (スコア:0)
せっかく自宅にキャッシュサーバー(squid)を用意してたのに
gifやjpgなどのどうでもいいようなものまで暗号化通信するようにする意味ってなんなの?
無駄な通信が増えるし、レスポンス悪くなるし、メリット少ないと思うんだが
Re:キャッシュサーバーが効かなくなった (スコア:1)
1) GIFやJPEGにもどうでもよくない中味のものは沢山ある。サーバーやブラウザ側では判別しようがない。
2) どうでもいいように見える平文通信から、それに付随するどうでもよくない通信の中味を類推されることだってある。
3) どうでもよくない通信だけ暗号化する仕組みだと、敵はそこが金になる部分だとわかるのでそこに絞って攻撃を仕掛けてくる。
すべての通信を暗号化してしまえば、敵は優先順位が分からなくなり、攻撃スピードが鈍る。
Re: (スコア:0)
モバイル通信は従量課金の人も多いでしょうし、
通信暗号化よりもパケット数を削りたい…って人は居ないんだろうか。
まぁ微々たるものかもしれませんが。
というかどのくらい差が出るんだろ。
Re: (スコア:0)
これをきっかけに無駄が減ればいいんじゃないですかね。
Re: (スコア:0)
何かあってもいいよね、内容を秘匿する必要は無いけど書き換えられると困るデータのための通信規格。
httpsでダイジェストを取得、ファイルの本体はhttpで取得して(こっちは普通にキャッシュされる)検査の後、
一致すれば安全なデータと見なす、というような一連の動作を自動でやってくれる仕組み。
httpのヘッダで、
ブラウザ「その仕組みに対応してます」
ウェブサーバ「なら、こっちから非暗号通信で取ってね。ダイジェストはこれ」
とやらせるとか。
全て暗号化だ、ひゃっはー、ってやるんだったら、並行してそういうのも作って欲しかった。
CDNが発展して、いまいちキャッシュに旨味がないのかなぁ。
Re: (スコア:0)
sslのciphersetに「eNull」とかがあるので、多分その辺を使えばできます。
(存在は知ってますが、実際に使ったことはない)
https://crosstrust.co.jp/support/faq/faq09/a016 [crosstrust.co.jp]
あらあら (スコア:0)
また、バッテリー寿命が短くなってしまいますわ