UDIDに依存する人々とたしなめる人々
-
ChihiroShiiji
- 61836
- 1
- 131
- 39
-
- いいね!39
kishikawa katsumi
@k_katsumi
@norio_nomura 単にユーザを区別するだけなら最初にユニークIDを作ってそれで区別すればいいのですよ。それ以上が必要ならユーザ登録だと思います。機能と個人情報と手間の釣り合いがとれればする、でいいんじゃないですか。OpenIDのくだりはまあ同意です。
2011-08-22 09:44:10
akisute/Masashi Ono
@akisutesama
ちょっと他人ごとではなくなってきたし今のうちにつくるか。すでにMACアドレスに塩振ってUDIDとして使うやつはあるが、そうじゃなくてCFUUIDCreateとKeychainを使うより確実に安全なやつ。keychainを汚染するのが本気で気に食わないけど
2011-08-22 09:46:51
akisute/Masashi Ono
@akisutesama
@toru_inoue メリットがないなら使わない、で良いと思います。おれだって単にアプリ入れなおしても消えないインストール毎に唯一な値が欲しいだけなんですもん。別にデバイスじゃなくていい。
2011-08-22 09:49:47
kishikawa katsumi
@k_katsumi
@akisutesama まってまって。UDIDの認証はそれ自体問題なんであって、かんたんログインだったらユニークIDを初回に発行してそれを使えばよくて、アンインストールしたら消えるとかは周知の制約なわけだから、それを越えるにはユーザ登録すべきだと思うのです。
2011-08-22 09:51:47
akisute/Masashi Ono
@akisutesama
http://t.co/xVp7uBN ほい、まずはAppleセンセが推奨してる実装のとおりに書いたよっと。次はKeychainをつけてpersistentする実装だ。
2011-08-22 10:16:34
kishikawa katsumi
@k_katsumi
@akisutesama ごめんもう書いちゃったってのは何のことを言ってるのかわからないけど、UUIDをUserDefaultsに保存してそれを使うのは別に普通だと思うよ。
2011-08-22 10:43:11
akisute/Masashi Ono
@akisutesama
@k_katsumi ああいや、Keychainに保存して永続化するってやつ。もうちょいしたら公開できるかなと。
2011-08-22 10:50:38
kishikawa katsumi
@k_katsumi
@akisutesama なるほ。キーチェーンに保存してアンインストールしても残るようにってのも別に問題ないよね。
2011-08-22 10:53:43
akisute/Masashi Ono
@akisutesama
http://t.co/xVp7uBN できた。Keychainを使ってUIIDの永続化をするようにした。これで俺がUDIDを使ってやりたかったことは全部できるのでなんの問題もない
2011-08-22 10:59:58
akisute/Masashi Ono
@akisutesama
一応念の為に検証するぞ。UIID、この値はまずCFUUIDCreateによって生成されるから完全にユニークで一意で特定不可能。保存先、Keychainにした場合は外部からの読み出し不可能(念のためアクセスグループの指定を外してあります)、サービスはBundle IDを使っている
2011-08-22 11:02:03
akisute/Masashi Ono
@akisutesama
さらにアプリを消してもKeychainのおかげで同じ値が返ってくることが担保される。なんの問題もない。同じ値が返ってくるので、この値をそのまま認証トークンにすると通信経路上で漏れた場合なりすましが可能だが、UDIDと違って他のアプリまで巻き添えで脆弱になったりしない。
2011-08-22 11:03:31
akisute/Masashi Ono
@akisutesama
呼び出しもUDIDと何ら変わらないレベルで楽。インストール時の制限も殆ど無い(Security/Security.hはiOS 2.0から使える)。すべての問題は解決した。乙。
2011-08-22 11:04:17
いなばり(inabary)
@inabary
これ…セーブデータの読込をUDIDと紐付けてたアプリで被害受けました(>_<) RT @ipodstyle: RT @fladdict: UDIDは地雷で、その危険っぷりはユーザーが機種変した瞬間に爆発する
2011-08-22 11:18:34
HARUYAMA Seigo
@haruyama
セキュリティ的にだめなことをすると社会的に(具体的には高木先生など)に吊されるリスクはもっと評価されるべき. UDIDなどでの端末識別はこのリスクが高いことは, 先例があり明らか. みんながやってるからいいじゃん, ってのはプラットフォームや社会によってひっくりかえることがある.
2011-08-22 11:31:08
akisute/Masashi Ono
@akisutesama
http://t.co/xVp7uBN さらに更新した。もうこれ以上はいいでしょう、多分これ以上は俺がいらない
2011-08-22 11:39:11
akisute/Masashi Ono
@akisutesama
つーかさっきのやつはbackground applicationがバックグラウンド時にUIIDにアクセスできない欠陥構造だったので大急ぎで直した
2011-08-22 11:39:33
常に気怠い荒波2
@aranami2
おらーiPhoneのアプリ全然わからんから何とも言えんけど、例えばUDIDでデータ管理しているとした場合、iPhoneで機器故障が発生し交換対応となるとどうなるんだべ?UDIDは引き継げるの?MACアドレスは変わるべ。
2011-08-22 11:45:54
Koichiro, Sumi
@sumyapp
これは困る "@rocaz: MACアドレス空間ではUDID以上にランダム性が無いことは既に指摘されている。つまり事態は悪化する。iOS開発者は馬鹿ばかりか / yebo blog: iOS 5で、開発者がUDIDにアクセスすることを禁止 http://t.co/BMcWGQn"
2011-08-22 12:13:35
Shinichi Tomita
@stomita
UDIDの件は、3rd party cookie => 1st party cookieへのシフトに見えるが、3rd party cookieとの違いはすべてのサイトで共通の値が読み取れること / http://t.co/s1Xi4tF
2011-08-22 12:14:18