パスワードを忘れた? アカウント作成
13106183 story
セキュリティ

Apple、HTTPSを必須にする「ATSサポート」義務付けを延期 20

ストーリー by hylom
ぐだぐだ 部門より
headless曰く、

Appleは21日、App Storeで公開するアプリに対するApp Transport Security(ATS)サポート義務付けの延期を発表した(Apple DeveloperNeowinRegister)。

ATSはアプリが通信する際にHTTPSの使用を必須とすることでユーザーのセキュリティとプライバシーを改善する仕組みで、iOS 9とOS X 10.11で導入された。Appleは6月のWWDC 2016で、2016年末までにApp Storeに送られるアプリのATSサポートを義務付けると発表していた。延期はアプリ開発者に準備のための猶予を与えるためとのことで、新たな期限は改めて発表するとのことだ。

  • 半年ぐらい前にhttps必須がどうのこうのって話は聞いていたけど、
    単にすべてのサーバアクセスをHTTPSにすりゃいいって話だと思ってました。

    なのでATSって単語が出て少し「あれっ?」と思い調べてみたのですが
    暗号強度とかサーバ証明書の有効性とかも求められてるのかな?

    低セキュリティなアクセスを iOS側でがっちりブロックする
    「セキュリティ機構」がATSであって、それを有効にしないことには
    URLの文字列を http から https に変えるだけじゃダメってことですよね・・・?

    ↓とりあえず日本語情報探して、ここ読みました
    [iOS 9] iOS 9 で追加された App Transport Security の概要 | Developers.IO
    http://dev.classmethod.jp/smartphone/iphone/ios-9-intro-ats/ [classmethod.jp]

    必要条件:

            TLS バージョン 1.2 以上
            接続時に使用できる暗号スイート (暗号アルゴリズムの組み合わせ) は以下のものに制限される
                    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
                    TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
                    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
                    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
                    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
                    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
                    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
                    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
                    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
                    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
                    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

    サーバ証明書に求められる条件

            SHA256 以上のフィンガープリント
            2048 ビット以上の RSA キー、もしくは 256 ビット以上の Elliptic-Curve (ECC) キー

    無効な証明書を使用した場合は強制的に失敗になり、接続できない

    ここに返信
  • by Anonymous Coward on 2016年12月26日 19時50分 (#3135853)

    いちいち中継サーバとHTTPSで通信しろってこと?

    ここに返信
    • by Anonymous Coward

      いまだにSのつかないHTTPなんて使ってるのが悪い

    • by Anonymous Coward

      私も真っ先にそれを心配しましたが
      それ以前に、ブラウザはどうするんだという問題が

    • by Anonymous Coward

      義務ってことなんで・・・httpsをデフォルトにしろってこと?

      オプションで変更がOKなら、大きな問題にならないと思うが・・

      • by Anonymous Coward

        例外に指定すればhttpも許可できるけど、基本httpsしか通信できないよ、って決まりだったはず。
        例外に入れずにhttp通信しようとするとエラーになる。

    • by Anonymous Coward

      iOSアプリ開発をしていれば、わかりますが、特にWebアクセス系の通信に対してはこれを除外する設定が用意されています。

  • by Anonymous Coward on 2016年12月26日 22時09分 (#3135909)
    Appleが認証局になってADC会員にバンバン証明書発行してくれるとかは無理なんですかね
    ここに返信
    • by Anonymous Coward

      Let's Encryptでいいじゃないですか。いやまあ、それ以外にも選択肢が増えることを否定するわけではありませんが。

  • by Anonymous Coward on 2016年12月27日 0時16分 (#3135953)

    I have an apple!

    あ”~っ!!!

    HTTPS Socket!

    ここに返信
  • by Anonymous Coward on 2016年12月27日 0時18分 (#3135954)

    予定通り実施せず延期したことに驚き
    対応していないアプリを排除するくらいの方がAppleぽい気がする

    ここに返信
  • by Anonymous Coward on 2016年12月27日 9時27分 (#3136067)

    せっかく自宅にキャッシュサーバー(squid)を用意してたのに
    gifやjpgなどのどうでもいいようなものまで暗号化通信するようにする意味ってなんなの?
    無駄な通信が増えるし、レスポンス悪くなるし、メリット少ないと思うんだが

    ここに返信
    • by Anonymous Coward on 2016年12月27日 11時37分 (#3136154)

      1) GIFやJPEGにもどうでもよくない中味のものは沢山ある。サーバーやブラウザ側では判別しようがない。
      2) どうでもいいように見える平文通信から、それに付随するどうでもよくない通信の中味を類推されることだってある。
      3) どうでもよくない通信だけ暗号化する仕組みだと、敵はそこが金になる部分だとわかるのでそこに絞って攻撃を仕掛けてくる。
        すべての通信を暗号化してしまえば、敵は優先順位が分からなくなり、攻撃スピードが鈍る。

    • by Anonymous Coward

      モバイル通信は従量課金の人も多いでしょうし、
      通信暗号化よりもパケット数を削りたい…って人は居ないんだろうか。
      まぁ微々たるものかもしれませんが。

      というかどのくらい差が出るんだろ。

    • by Anonymous Coward

      これをきっかけに無駄が減ればいいんじゃないですかね。

    • by Anonymous Coward

      何かあってもいいよね、内容を秘匿する必要は無いけど書き換えられると困るデータのための通信規格。

      httpsでダイジェストを取得、ファイルの本体はhttpで取得して(こっちは普通にキャッシュされる)検査の後、
      一致すれば安全なデータと見なす、というような一連の動作を自動でやってくれる仕組み。

      httpのヘッダで、
      ブラウザ「その仕組みに対応してます」
      ウェブサーバ「なら、こっちから非暗号通信で取ってね。ダイジェストはこれ」
      とやらせるとか。

      全て暗号化だ、ひゃっはー、ってやるんだったら、並行してそういうのも作って欲しかった。
      CDNが発展して、いまいちキャッシュに旨味がないのかなぁ。

  • by Anonymous Coward on 2016年12月27日 9時35分 (#3136077)

    また、バッテリー寿命が短くなってしまいますわ

    ここに返信
typodupeerror

人生unstable -- あるハッカー

読み込み中...