スラッシュドット・ジャパン

高木氏が http://takagi-hiromitsu.jp/diary/20070224.html で書いておられるように、au 電話の Web ブラウザには現在の URL を確認する機能が用意されていません。このため、au 電話で URL を確認したい場合、メニュー(*1) から「お気に入り登録」を選択して、登録の確認画面で URL をコピーする、という方法が一般的に用いられています。(*2)

しかし、この方法には２つの欠陥があります。

1. お気に入り登録を拒否できる(*3)
特殊な meta 要素（検索すればすぐに見つかるので敢えて書きませんが）(*4) をページに入れることで、「お気に入り登録」を不能にすることができる（「このページはお気に入りリストに登録できません」というメッセージが表示される）。

2. 特定の URL をお気に入りの URL として認識させることができる
1 と同様に meta 要素(*4) を利用して、特定の URL をお気に入り登録時の URL として利用できる（例えば、悪意のあるサイト「http://example.com/」を表示中に、ユーザが「お気に入り登録」を選択した場合、登録の確認画面に表示される URL を有害なサイト「http://example.org/」にすることができる）。ディープリンクを禁止したいサイトにおいて、トップページ以外のページでユーザが「お気に入り登録」を選択した場合に、自動的にトップページの URL を登録 URL として表示する場合などに使われることが多い（PC の Web ブラウザであれば「アドレスバー偽装の脆弱性」で大騒ぎでしょう）。(*5)

これら機能が仕様であると知ったときは、PC ブラウザのセキュリティ意識との差に愕然としました。因に、au お客様センターに一度この旨を説明したのですが、定型文返信でした。

＊蛇足（というかオフトピ）ですがセキュリティ繋がりで：
KDDI au: ダウンロードCGI > サンプルプログラムのセキュリティに関する重要なお知らせ
http://blog.kenichimaehashi.com/jump.cgi?url=http://www.au.kddi.com/ezfactory/tec/dlcgi/info.html
au のダウンロード CGI に脆弱性が発見
http://blog.kenichimaehashi.com/?article=11839849910

(*1) 各サイトに備え付けられた独自のメニューではなく、Web ブラウザの機能としての「メニュー」。以下同様。
(*2) 例えば、http://www.naruhodo-au.kddi.com/qa2745127.html など。ちなみに、このサイトは au が提供しているコミュニティサイトで、au の携帯版公式サイトからもリンクが張られています。
(*3) この機能が、au 携帯向け Web アプリケーションの脆弱性の温床にもなっていると思います（私見）。公式サイト中にも、URL のパラメータを弄るだけで有料コンテンツをダウンロードできるようになっているサイトが見受けられました（このサイトではお気に入り登録の拒否タグが設定されていましたが、以前発見された Referer 誤送信の脆弱性（参照：http://slashdot.jp/security/article.pl?sid=05/12/09/1021257）などによって流出したケースがあるようです）。
(*4) さらに悪い事には、これらの meta 要素は body 内に書かれていても機能します（手元の端末で確認した限りでは）。タグを許容する BBS などを設置・運営している場合は特に注意が必要でしょう。
(*5) せめて同一ドメイン内とかにして欲しかった。

セキュリティのためにWebを積極的に使う姿勢のようですね。

携帯向けのサイトは、携帯会社、機種ごとに仕様が違うので、デバッグがとても大変。
機種を判定するクラスもしょっちゅうアップデートしなくてはいけないし、
予算のないところでは、正直言って、作りっぱなしになる。
インターネットから切り離したほうが良いんじゃないかと思うよ。

「ガラパゴス文化」みたいな、キャッチーな表現を目指しすぎて
かえって説明をはしょりすぎな印象を受けます。特に今回のストーリー文。

「ガラパゴス」という単語が、ある物が他の地域とは隔絶した地域で独自の
発達の仕方をしてといったような様相を表している、というのはまぁスラド読者には
伝わるでしょう。最近の使われ方としては、2004年にVA Linux佐渡氏が
ダーウィンの進化論になぞらえて、日本のOSS界をそう表現したのが記憶に新しいかと。
しかしこれに引きずられて、外国の携帯電話業界と日本のそれとを比較したものと
誤解してしまいそうになります。よくよく見ると、Web業界の標準的な仕様と
携帯電話のWebブラウジング機能を比較したものなのだけども。
ああ、でも高木氏の記事では、記事の最後の方で「そんなものは英語圏では～」と
外国対日本的な対比もしていますね。

まぁつまり何が言いたいかというと、キャッチーそうに見える単語で説明した
つもりにならずに、普通の日本語で平易な表現するよう心がけるように
してほしいってことですかね。

「ガラパゴス状態」と揶揄されているのはWebアプリ側の問題？キャリアのゲートウェイの問題？端末のブラウザの問題？どれなんでしょうね。そのすべて、というのが正解だと思うのですが、人それぞれの立場でどの問題を重視するか、どの問題に影響を受けるかは異なるので、議論が発散しがちになりますね。切り分けがあいまいになりがちというか。

たとえばWebアプリ側の問題としてタレこみで挙げられている「Webアプリサーバの設定ミス等でセッションが意図せず共有され」というのは別にケータイのサイトに限って発生するわけでもないとおもいます。もちろんそれがEZ番号（サブスクライバID）に起因するものであればケータイ特有ということになりますが（他キャリアの場合であればクッキーの使用可否も含む）。

＞各キャリアはガラパゴスな携帯電話のブラウザ実装状況を見直し、
＞Webサービス提供者は携帯電話のブラウザで巡回しても安全性を確保しやすい
＞セーフティなデザインを検討していく、というような対処が必要となるのではないだろうか。

まさしくその通りだと思います。が、やっぱり前者（ケータイのブラウザの改善）のほうが重要かなぁ、と思ったり。クッキーが使えないなんてのはWebアプリ側ではどうしようもないですし。

米国でiPhoneが発売され、いよいよ日本国内の携帯のガラパゴス文化が際立ってきている気がする今日この頃だが、皆さんは「携帯電話からのWeb」をどれくらい利用しているだろうか？

初代のWAPではなく、HTML系統をケータイ向けに落としこんで、 作ったWAP2.0は海外でも使われる様になったと 思うのですが、海外の比較的高機能なケータイを利用している層のWAP2.0系統のコンテンツの利用率 は低いものなんですかね?海外の高機能電話の事情は いまいち詳しくないのでわからないのですが、タレコミ文を見てると 一応、ケータイ専用のコンテンツは利用率が低いという事になってる様ですが。

ケータイ専用のコンテンツはWWWと比較すると、コンテンツの量などの面で劣りますが、 小型機器で動作する仕様として考えられているので、ケータイ端末上で動作させる場合、 動作の軽快さがかなり違うので アレはアレでメリットあるものなんですが。iPHONEなんかでも iPHONE向けに専用に作られたコンテンツの方がそうでないものより、 快適に扱えると思われます。

例えば、天気予報とかちょっとしたニュース程度を見るのなら、 ケータイで処理するには重たい、 わざわざ大きなHTML文書や、画像を落としてくる必要性はなかったりするんじゃないかと。

高負荷を想定していないサーバーにリンクをはるときは、可能な範囲で（かつ充分量だとうれしいですが）参照先の内容を引用とか要約して記述とかしてもらえると、うれしいです。
どっかにミラーかアーカイブかなんか、ないですかね？

海外の携帯電話でウェブ閲覧ができるのはいわゆるスマートフォンで、PCと同じようにlocationバーにURLが表示されるブラウザをのっけているケースが多いのかなと思う。iPhone のは Safari だし、Opera のせてるところもあるしね。対して日本の電話って最近のなら大抵どれでもそういうことが出来るし、URLが表示されないものが多いので、そこは懸念点のひとつかなと言われればそんな気は確かにする。

Opera mini みたいに公式プロキシを通すような仕様にして、あらゆる phishing はそこでそもそも食い止めるというアプローチはアリかもね。Google あたりと組めば完璧は無理にしてもある程度は出来る気がするんだけど。

Appleマンセーな人にはガラパゴスでない環境は想像もつかない罠。

分からん人相手に言いたいわけだから不快になろうがそれはそれでいいんじゃないでしょうか？

タレコミACです

まず「ガラパゴス」という言葉について認識の相違があるように思います。

>「ガラパゴス」と揶揄される状況が、問題の原因であるようには思えません。
>携帯電話を主とした消費活動が可能な「ガラパゴス」でない環境を想起できません。
（中略）
>現状では iPhone こそが情報も実績も足らない「ガラパゴス」です。

主旨として「あまり遠くへ行かない」という前提、安全の担保が可能だったのは、
iメニューなどのキャリア固定サービス、インターネットのようでインターネットでない不自由さ、
インターネットでないようでインターネットな場所にあるコンテンツが主体だったから、
という構造を維持してきたという点を含んでいます、そこの認識の違いでしょうか？
"情報も実績も足らないから「ガラパゴス」"とは、普通言わないと思います。

iPhoneについてガラパゴスと言及されているのも、その辺の誤解があってだと思いますが、
もともとApple製品自体、実績問わず独自性、情報の鎖国性が付きまとうものだったりするので、
それがガラパゴスだと言われれば思わず納得してしまいそうです。
しかし前記を踏まえてみた時に、iPhoneのアクセス先に同様の「公式メニュー」とか「公式サイト」という縛りがあるでしょうか？
デフォルトに登録されている個々のサービスはあるでしょうが、見ず知らずのサイトに飛んでいく事を想定せず、
アドレスバーが無いなどの不備は無いようです。
タレコミに記した高木氏の日記(6/24)には、「auお客様センター」の回答として、「公式＝安全だからURLは必要ない」という認識があります。
この「公式」という概念こそガラパゴスの名残であり、旧来の安全性を担保してきており、現在の脆弱性問題の一因であると思っております。

ここで更に高木氏のサイトを引用するのは帯域/タイムアウトの負荷制限か、とかく/.edになりがちなので気が引けるのですが、
「ガラパゴス携帯のパラダイス鎖国」をWebの技術面から見る [takagi-hiromitsu.jp]もご覧ください。
#もし、/.edになるようでしたら、リンク先のアドレスをgoogleなど検索エンジンに入れると、
キャッシュで安定してみる事ができますキャッシュへのリンク [72.14.235.104]

>PC との連携が必要なら、脆弱性の問題をほぼ PC 側に閉じ込めることが可能

これについて、どこを読んでなのか知りませんがPCと連携する必要/不要は話題にしたつもりないので触れるのは避けます。
ひょっとして、PCだけを想定して作られたサイトを閲覧する状況を書いた箇所の誤解でしょうか？
そうなら、誤解を招く表現だったようで、すみませんでした精進いたします。

鶏冠に来るようなこと言われるまで人の言うことに聞貸さない人ばかり
だからなんじゃ？

温厚な文章 → そうそうそう同意同意（実は理解してない）→ 華麗にスルー

見下す文章 → なんだとー！！こいつ叩いてやる！ → あら探しする → 間違いが見つからん（理解） → くそーなんかむかつくな

やさしい言葉で書くとあまり取り上げられないので、わざときつめの言葉を選んで書いておられるのですよ。

> 個人的な感想ですが、なんとなくの偉そうな書き方に思えてしまいます。

もちろんこういう風に感じられる方がおられるのも覚悟の上で。

大丈夫、リモートで見られたとして、流出するのは「他人の個人情報」。

自分の電話番号は、電話帳とは別だから消せないよね。

> 個人的な感想ですが、なんとなくの偉そうな書き方に思えてしまいます

高木先生に限らず、Net上で邪悪なものと闘ってる(つもりを含む)人は概ねそんなふうに見えます。

自分がさほど詳しくないジャンルを語っている文章を読んだ時に、
「偉そうだ」「上から見てる言い方だ」等と、反発を覚えてしまう事自体が、
その人間の「親しくないヒトからの忠告は受け付けない」と言う脆弱性ではないでしょうか？

と言うか、そーゆー事を言うヒトに限って、
「親しいヒト全てを下に見てる」様なところがあるので、
「自分より偉そうなやつは気に入らない」だけなんじゃないかと思いますが...。

学者やエンジニアは誤解を与えないようにストレートな表現を使うことがよくあるけど、それが偉そうに見えるだけじゃないのかな。

いやいや、ガラパゴスはエクアドル [wikipedia.org]。

それは違うな。

高木氏の目的は、意思決定権のある人を説得することじゃーない。
大多数の技術者達の常識を作ることなんだな。

“オレオレ証明書”だってどんな丁寧な文書でお偉いさんに渡しても、お偉いさんの発想は「それって常識なの？」で終わりなわけよ。内容は理解しないから。というか、理解する必要があるかわかるまで、理解しようとしない。

だから、まず必要なのはお偉いさんの下々にいる技術者みんなにその常識ができあがること。だけど、ほんの数年前はスラドでさえ“オレオレ証明書”の何が問題なのかわからない人がいーっぱいいたよね。暗号化はされるからいいじゃんとか。

で、大多数の技術者達の常識が変わったらあとは誰が何をするべきかな？
君はそれをしないの？

現在使用中の端末で不具合が報じられても、よほど致命的な欠陥でなければ
わざわざ店頭まで出向いて交換/修理する人は少ないでしょう。
かくいう私もReferer誤送出のau端末を機種変更まで放置したクチです。

旧機種はゴミと言わずとも、やがて機種変更でポイされる運命・・・
携帯電話によるWEB利用の危険性を提言しても「何それ、不具合？　でも
新機種では直すんでしょ？」と言われるだけのような気がします。

批判を長く主に据えていると、だんだん言い方がきつくなるんですよね。

ドイツの偉い人 [wikiquote.org]も言っていました。
高木氏が時々良いサイトを解説しているのも、そのためかもしれず。

あれは意図的なものでしょう。

世の中には煽ったり喧嘩を売ることで注目を集めようとする人たちがいて、彼もその一人だと私は認識しています。目的の正しさや意図的か天然かを無視した手段の話です。

セキュリティの啓蒙のような問題は「まず知ってもらう」という部分が難しいわけですから、その部分では彼の手法は成功していますが、内容に興味がない一般人の評価は、「役所や企業相手にネチネチ問い詰める面白い人」で、彼が本当に訴えたい「正しい理解」にまで繋がっているかという部分には大いに疑問が残ります。