タグ

Securityとiosに関するpotato777のブックマーク (2)

  • SSL/TLSライブラリの正しい使い方(もしくは、コモンネームの検証について)

    スマホアプリの市場拡大に伴い、直接SSL/TLSライブラリを使用するプログラムを書く機会も増えてきている今日この頃かと思います。 SSL/TLSライブラリを使う際には、接続確立時にサーバの認証を正しく行う必要があります。具体的には、クライアントプログラムで以下の2種類の検証を行うことになります。 SSL/TLSライブラリがサーバの証明書の検証に成功したこと サーバの証明書に含まれるコモンネーム注1が接続しようとしたサーバと同一であること 前者については、OpenSSLの場合はSSL_CTX_set_verifyの引数にSSL_VERIFY_PEERを指定するなどして、ライブラリ側で処理を行わせることが可能です(証明書の検証に失敗した場合はSSL_connectがエラーを返します)。 一方、後者についてはSSL/TLSライブラリによって差があり、検証機能を有効にするために特別な呼出が必要だっ

  • 「iOS」アプリ内購入システムを迂回する手法が明らかに--アップルは調査中

    「iOS」搭載端末を対象としたある手法を使うことにより、組み込みのセキュリティ対策が結果的に迂回され、ユーザーがアプリケーション内の有料コンテンツに無料でアクセスできるようになっているという。 この手法は、あるロシアプログラマーが詳細を明かしたもので、9to5Macが米国時間7月13日午前に(i-ekb.ruを通じて)記事を掲載している。同手法は、プロキシシステムを利用したもので、購入リクエストがサードパーティーのサーバに送信され、そこで検証されたリクエストが取引の完了を装って元のアプリケーションに返されるという仕組みだ。ただし、この処理が実行される前に、ユーザーは自身の端末上に特別なセキュリティ認定プログラムをインストールし、Wi-Fiネットワークに接続しておく必要がある。 この手法を明かした人物は、その仕組みが機能するために必要なプロキシサーバを稼働させるため、寄付を募るウェブサイト

    「iOS」アプリ内購入システムを迂回する手法が明らかに--アップルは調査中
  • 1