アカウント名:
パスワード:
米国でiPhoneが発売され、いよいよ日本国内の携帯のガラパゴス文化が際立ってきている気がする今日この頃だが、皆さんは「携帯電話からのWeb」をどれくらい利用しているだろうか?
初代のWAPではなく、HTML系統をケータイ向けに落としこんで、 作ったWAP2.0は海外でも使われる様になったと 思うのですが、海外の比較的高機能なケータイを利用している層のWAP2.0系統のコンテンツの利用率 は低いものなんですかね?海外の高機能電話の事情は いまいち詳しくないのでわからないのですが、タレコミ文を見てると 一応、ケータイ専用のコンテンツは利用率が低いという事になってる様ですが。
ケータイ専用のコンテンツはWWWと比較すると、コンテンツの量などの面で劣りますが、 小型機器で動作する仕様として考えられているので、ケータイ端末上で動作させる場合、 動作の軽快さがかなり違うので アレはアレでメリットあるものなんですが。iPHONEなんかでも iPHONE向けに専用に作られたコンテンツの方がそうでないものより、 快適に扱えると思われます。
例えば、天気予報とかちょっとしたニュース程度を見るのなら、 ケータイで処理するには重たい、 わざわざ大きなHTML文書や、画像を落としてくる必要性はなかったりするんじゃないかと。
【北京9日時事】新華社電によると、中国甘粛省酒泉市金塔県の工場で6月19日、溶接作業員(22)が仕事中、胸のポケットに入れていた携帯電話が突然爆発し、作業員は死亡した。公安当局による初歩的な捜査の結果、携帯電話の電池が高温下で爆発したとみられ、充電式電池が偽物であるなど問題があった可能性も指摘されている。 携帯電話は米モトローラ製。同社は関係者を現地に派遣し、調査を行ったとした上で「電池が爆発する確率は非常に低い」と説明。同社は既に被害者の家族にお見舞いを行ったという。 中国では、品質の悪い偽の電池が正規のものに比べて安い値段で大量に出回っている。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
au 携帯電話と「お気に入り」 (スコア:5, 参考になる)
しかし、この方法には2つの欠陥があります。
1. お気に入り登録を拒否できる(*3)
特殊な meta 要素(検索すればすぐに見つかるので敢えて書きませんが)(*4) をページに入れることで、「お気に入り登録」を不能にすることができる(「このページはお気に入りリストに登録できません」というメッセージが表示される)。
2. 特定の URL をお気に入りの URL として認識させることができる
1 と同様に meta 要素(*4) を利用して、特定の URL をお気に入り登録時の URL として利用できる(例えば、悪意のあるサイト「http://example.com/」を表示中に、ユーザが「お気に入り登録」を選択した場合、登録の確認画面に表示される URL を有害なサイト「http://example.org/」にすることができる)。ディープリンクを禁止したいサイトにおいて、トップページ以外のページでユーザが「お気に入り登録」を選択した場合に、自動的にトップページの URL を登録 URL として表示する場合などに使われることが多い(PC の Web ブラウザであれば「アドレスバー偽装の脆弱性」で大騒ぎでしょう)。(*5)
これら機能が仕様であると知ったときは、PC ブラウザのセキュリティ意識との差に愕然としました。因に、au お客様センターに一度この旨を説明したのですが、定型文返信でした。
*蛇足(というかオフトピ)ですがセキュリティ繋がりで:
KDDI au: ダウンロードCGI > サンプルプログラムのセキュリティに関する重要なお知らせ
http://blog.kenichimaehashi.com/jump.cgi?url=http://www.au.kddi.com/ezfactory/tec/dlcgi/info.html
au のダウンロード CGI に脆弱性が発見
http://blog.kenichimaehashi.com/?article=11839849910
(*1) 各サイトに備え付けられた独自のメニューではなく、Web ブラウザの機能としての「メニュー」。以下同様。
(*2) 例えば、http://www.naruhodo-au.kddi.com/qa2745127.html など。ちなみに、このサイトは au が提供しているコミュニティサイトで、au の携帯版公式サイトからもリンクが張られています。
(*3) この機能が、au 携帯向け Web アプリケーションの脆弱性の温床にもなっていると思います(私見)。公式サイト中にも、URL のパラメータを弄るだけで有料コンテンツをダウンロードできるようになっているサイトが見受けられました(このサイトではお気に入り登録の拒否タグが設定されていましたが、以前発見された Referer 誤送信の脆弱性(参照:http://srad.jp/security/article.pl?sid=05/12/09/1021257)などによって流出したケースがあるようです)。
(*4) さらに悪い事には、これらの meta 要素は body 内に書かれていても機能します(手元の端末で確認した限りでは)。タグを許容する BBS などを設置・運営している場合は特に注意が必要でしょう。
(*5) せめて同一ドメイン内とかにして欲しかった。
一方iPhoneは (スコア:4, 興味深い)
デバッグがおそろしく面倒 (スコア:3, すばらしい洞察)
機種を判定するクラスもしょっちゅうアップデートしなくてはいけないし、
予算のないところでは、正直言って、作りっぱなしになる。
インターネットから切り離したほうが良いんじゃないかと思うよ。
Re:デバッグがおそろしく面倒 (スコア:3, 参考になる)
仕様を1つにしてくれればどれだけデスマが減ることか・・・
Re:デバッグがおそろしく面倒 (スコア:1)
海外の事なんて知ったこっちゃない立場なんで
勉強になりました。
Re:デバッグがおそろしく面倒 (スコア:3, 興味深い)
>機種を判定するクラスもしょっちゅうアップデートしなくてはいけないし、
>予算のないところでは、正直言って、作りっぱなしになる。
記事が解りにくいと不評の、たれゴミACです。
予算があっても相当厳しいのが現状です。初期i-mode~初期FOMA~90x、
J-Phone~vodafone~softbankとezを広範にサポートするササイトに関わりました。
そこは衣食住に絡んだ日常的なテーマで、公式メニューにも出てくるサイトだったので、
ちょっとサポート漏れがある機種があると直ぐにクレームが入ってきました。
文字数制限あたりは可愛いもので、サポートタグの機種ごとの仕様違いなど、
ハマリポイントがそこかしこに存在しているので正に地獄。一機種先は闇。
そして、J-Phoneなどの旧機種など、熱心にサポートしても割に合わない、
でも始めちゃうとユーザーがついてきて中々やめられないとか。
公式メニューのために、新型のデバイスが出ればサンプル機を借り受けられた、
というのは有り難かったですが、絶対失敗するなよというプレッシャーでもありました。
実際、「手一杯でちょっと待って欲しい」と言うと「あっちのキャリアに注力するからか?あーん?」
といった感じに機嫌を損ねるので、営業的には「ハイ直ぐやります」となるわけで。
かといって人を増やせない、このしわ寄せはどこで吸収するの?という感じです。
>インターネットから切り離したほうが良いんじゃないかと思うよ。
安易に携帯向けサイトを作らなくなることで、そのサイトで被害にあう可能性は減りますが、
ただ、高木氏のサイトがそうであるように、望むと望まざるとにかかわらずアクセスされるので、
いっそキャリア・メーカーが更新を見捨てた携帯はアクセスが出来なくなるとか許されれば、
デバッグの手間も減ってセキュリティ対策に割り振れるのになと都合のいい事を考えてしまったり。
ガラパゴス文化って何よ (スコア:3, すばらしい洞察)
かえって説明をはしょりすぎな印象を受けます。特に今回のストーリー文。
「ガラパゴス」という単語が、ある物が他の地域とは隔絶した地域で独自の
発達の仕方をしてといったような様相を表している、というのはまぁスラド読者には
伝わるでしょう。最近の使われ方としては、2004年にVA Linux佐渡氏が
ダーウィンの進化論になぞらえて、日本のOSS界をそう表現したのが記憶に新しいかと。
しかしこれに引きずられて、外国の携帯電話業界と日本のそれとを比較したものと
誤解してしまいそうになります。よくよく見ると、Web業界の標準的な仕様と
携帯電話のWebブラウジング機能を比較したものなのだけども。
ああ、でも高木氏の記事では、記事の最後の方で「そんなものは英語圏では~」と
外国対日本的な対比もしていますね。
まぁつまり何が言いたいかというと、キャッチーそうに見える単語で説明した
つもりにならずに、普通の日本語で平易な表現するよう心がけるように
してほしいってことですかね。
Re:ガラパゴス文化って何よ (スコア:1, 参考になる)
別ACさんへの回答が流用可能と思うので、そこへのポインタ [srad.jp]をもって「ガラパゴス」という言葉、
その解釈とそれを使った意図の説明とさせていただきます。
少なくとも、「キャッチーそうに見える単語で説明したつもり」ほど軽い動機では無いのですが、
後半が長くなるにつれて「かえって説明をはしょりすぎな印象」になったという感じでしょうか。
そういう印象は変わりなく、却って本題とは関係ないと判断されて削除されたのでしょうけど、
元のタレコミ文はこう [srad.jp]で、もうちょっと言葉が多く、実際に端折られていたりします。
他のACさんの指摘にもあるように、長々と書いたので焦点をぼけさせてしまった。
そこで、編集者氏が修正しようとしたが、結果的に私の悪文のほうが
斜め上を行っていたという事でしょうかね。
このところ携帯と携帯サイトのセキュリティが問題(例 [tosp.co.jp])になる機会が増えており、
その経緯を最近のものだけでも順を追って説明しようとして、自然と長くなってしまいました。
そこに、高木記事にある「公式だから安全」というauの認識にイラッと来たために、
ガラパゴスに安住する珍獣が!ペッ!と思って言葉が先走ったかもしれません。
他ACさんが言うように「ガラパゴス化」のほうが、まだ良かったですね。
Re:ガラパゴス文化って何よ (スコア:1)
ガラパゴスだろうと何だろうと、携帯webのセキュリティに問題があることに変わりはないのでは?(これまでの説明を読むと、ガラパゴスやMacの方が危険が少ないようにも見えるが)
the.ACount
Webアプリ側の問題?キャリアのゲートウェイの問題?端末のブラウザの問題? (スコア:2, 興味深い)
たとえばWebアプリ側の問題としてタレこみで挙げられている「Webアプリサーバの設定ミス等でセッションが意図せず共有され」というのは別にケータイのサイトに限って発生するわけでもないとおもいます。もちろんそれがEZ番号(サブスクライバID)に起因するものであればケータイ特有ということになりますが(他キャリアの場合であればクッキーの使用可否も含む)。
>各キャリアはガラパゴスな携帯電話のブラウザ実装状況を見直し、
>Webサービス提供者は携帯電話のブラウザで巡回しても安全性を確保しやすい
>セーフティなデザインを検討していく、というような対処が必要となるのではないだろうか。
まさしくその通りだと思います。が、やっぱり前者(ケータイのブラウザの改善)のほうが重要かなぁ、と思ったり。クッキーが使えないなんてのはWebアプリ側ではどうしようもないですし。
屍体メモ [windy.cx]
PHPってそんなに問題ですか? (スコア:1)
自分は PHP で組まれたシステムの改修をよくやってたんですが、PHP という言語に起因した問題には当たったことがないんです。「(どんな言語で書いたとしても)この設計はないだろ、そもそも」というのはよくありましたが orz
display_errors=on がデフォルトだったり、セッション関係では GET でセッションIDが設定できたり、って点ですか?確かにセッション関係は特にデフォルト設定が安全とは言えない設定なんだよなぁ。
屍体メモ [windy.cx]
求む海外のケータイWeb(コンテンツ)事情 (スコア:2, すばらしい洞察)
初代のWAPではなく、HTML系統をケータイ向けに落としこんで、 作ったWAP2.0は海外でも使われる様になったと 思うのですが、海外の比較的高機能なケータイを利用している層のWAP2.0系統のコンテンツの利用率 は低いものなんですかね?海外の高機能電話の事情は いまいち詳しくないのでわからないのですが、タレコミ文を見てると 一応、ケータイ専用のコンテンツは利用率が低いという事になってる様ですが。
ケータイ専用のコンテンツはWWWと比較すると、コンテンツの量などの面で劣りますが、 小型機器で動作する仕様として考えられているので、ケータイ端末上で動作させる場合、 動作の軽快さがかなり違うので アレはアレでメリットあるものなんですが。iPHONEなんかでも iPHONE向けに専用に作られたコンテンツの方がそうでないものより、 快適に扱えると思われます。
例えば、天気予報とかちょっとしたニュース程度を見るのなら、 ケータイで処理するには重たい、 わざわざ大きなHTML文書や、画像を落としてくる必要性はなかったりするんじゃないかと。
/.はログインすると色々できます by Dポ研。 [twitter.com]
高木サイト/.ed (スコア:1)
どっかにミラーかアーカイブかなんか、ないですかね?
Re:高木サイト/.ed (スコア:2)
「高木浩光 ケータイweb」で行けました。
http://72.14.235.104/search?q=cache:xUjFLORfNEMJ:takagi-hiromitsu.jp/d... [72.14.235.104]
Re:高木サイト/.ed (スコア:2, おもしろおかしい)
#ページ内の自分の発言を検索していた(汗
Re:高木サイト/.ed (スコア:0, 荒らし)
高木氏のサイトは、さくらインターネットのレンタルサーバだから、アクセス量制限がきついのでしょう。いつ見に行ってもしょっちゅう、503 Service Temporarily Unavailable ですよ。糞サイトですね。
Re:高木サイト/.ed (スコア:1, すばらしい洞察)
#さくらインターネットのレンタルサーバのユーザーなのでAC
携帯の場合 (スコア:0)
見ることが出来る可能性がありそう...)のは私だけでしょうか?
なので一切アドレス帳には登録してません。
まあ電話番号を覚えてない人にかける事がほとんどないですけど。
Re:携帯の場合 (スコア:1)
自分の電話番号は、電話帳とは別だから消せないよね。
Re:携帯の場合 (スコア:1)
うちの親は,自分の電話番号を表示する方法をよく忘れるので,アドレス帳に自分の番号も登録してあったりする……
Re:携帯の場合 (スコア:1)
☆大きい羊は美しい☆
携帯電話は危険この上ないですね (スコア:0, おもしろおかしい)
#あ、こういう話じゃない?
携帯電話機は電話機じゃなくて全てゴミ (スコア:0)
Re:携帯電話機は電話機じゃなくて全てゴミ (スコア:1)
わざわざ店頭まで出向いて交換/修理する人は少ないでしょう。
かくいう私もReferer誤送出のau端末を機種変更まで放置したクチです。
旧機種はゴミと言わずとも、やがて機種変更でポイされる運命・・・
携帯電話によるWEB利用の危険性を提言しても「何それ、不具合? でも
新機種では直すんでしょ?」と言われるだけのような気がします。
匠気だけでは商機なく、正気なだけでは勝機なし。
ここまで読んだ (スコア:0)
これだけ抑えておけば安心。
Re:「ガラパゴス」でない環境はあるのでしょうか (スコア:1, 参考になる)
Opera mini みたいに公式プロキシを通すような仕様にして、あらゆる phishing はそこでそもそも食い止めるというアプローチはアリかもね。Google あたりと組めば完璧は無理にしてもある程度は出来る気がするんだけど。
Re:「ガラパゴス」でない環境はあるのでしょうか (スコア:2, 参考になる)
URLが見たいのであれば、DoCoMoならばブラウズ中に「Menu→表示→URL表示」とか、「Menu→URL表示」とか、機種によって位置は少々違いますが、たいていMenuの中にURL表示機能があります。
auの端末は少しわかりにくくて、ブックマークをするときにURL編集の機能でURLを見ることが出来ます。
SoftBankも、3GC以降の機種ならば、「Menu→プロパティ」にURLを表示する機能があるはずです。
小さな画面ですので、URLを常に表示するアドレスバーを省いてしまったのでしょう。
が、画面解像度も上がってきている昨今、そろそろアドレスバーを入れる判断をしてもよさそうな気はしますよね。
Re:「ガラパゴス」でない環境はあるのでしょうか (スコア:1)
遷移してから確認できても遅い場合もあるので。
Re:「ガラパゴス」でない環境はあるのでしょうか (スコア:1)
が今では検索サイトからも遷移するのが普通になり、
>となると、フィッシング対策もPC同様に必要になってくるはずだ。
ということなので、
ステータスバーさえない現在は、「ジャンプ前に確認する方法」すら十分でない
状況という意味ですがね?
Re:「ガラパゴス」でない環境はあるのでしょうか (スコア:1)
>べきところ、なぜ「EZweb」サイトだけわざわざその表示を隠すのか?
アドレスバーを搭載しないのなら、「事前にジャンプ先を確認できる」ステータスバー
が必要って話じゃないか。
Re:「ガラパゴス」でない環境はあるのでしょうか (スコア:1)
>偽装方法があるので、アドレスバーの方がいいんでない?
携帯では偽装方法が無いという認識ですが、間違ってますか?
#というかステータスバー自体が無いわけですが。
偽装され
る可能性がある端末ではアドレスバーを設けている
ようですが。
Re:「ガラパゴス」でない環境はあるのでしょうか (スコア:1)
サーバ側でリダイレクトという手もあるので間違いじゃないですかね。
> #というかステータスバー自体が無いわけですが。
この文の意味がわからないのですが、まさか『現状ステータスバーが無いんだから偽装方法が無い』って意味じゃないですよね?
まさかね~。
Re:「ガラパゴス」でない環境はあるのでしょうか (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:「ガラパゴス」でない環境はあるのでしょうか (スコア:1, 参考になる)
まず「ガラパゴス」という言葉について認識の相違があるように思います。
>「ガラパゴス」と揶揄される状況が、問題の原因であるようには思えません。
>携帯電話を主とした消費活動が可能な「ガラパゴス」でない環境を想起できません。
(中略)
>現状では iPhone こそが情報も実績も足らない「ガラパゴス」です。
主旨として「あまり遠くへ行かない」という前提、安全の担保が可能だったのは、
iメニューなどのキャリア固定サービス、インターネットのようでインターネットでない不自由さ、
インターネットでないようでインターネットな場所にあるコンテンツが主体だったから、
という構造を維持してきたという点を含んでいます、そこの認識の違いでしょうか?
"情報も実績も足らないから「ガラパゴス」"とは、普通言わないと思います。
iPhoneについてガラパゴスと言及されているのも、その辺の誤解があってだと思いますが、
もともとApple製品自体、実績問わず独自性、情報の鎖国性が付きまとうものだったりするので、
それがガラパゴスだと言われれば思わず納得してしまいそうです。
しかし前記を踏まえてみた時に、iPhoneのアクセス先に同様の「公式メニュー」とか「公式サイト」という縛りがあるでしょうか?
デフォルトに登録されている個々のサービスはあるでしょうが、見ず知らずのサイトに飛んでいく事を想定せず、
アドレスバーが無いなどの不備は無いようです。
タレコミに記した高木氏の日記(6/24)には、「auお客様センター」の回答として、「公式=安全だからURLは必要ない」という認識があります。
この「公式」という概念こそガラパゴスの名残であり、旧来の安全性を担保してきており、現在の脆弱性問題の一因であると思っております。
ここで更に高木氏のサイトを引用するのは帯域/タイムアウトの負荷制限か、とかく/.edになりがちなので気が引けるのですが、
「ガラパゴス携帯のパラダイス鎖国」をWebの技術面から見る [takagi-hiromitsu.jp]もご覧ください。
#もし、/.edになるようでしたら、リンク先のアドレスをgoogleなど検索エンジンに入れると、
キャッシュで安定してみる事ができますキャッシュへのリンク [72.14.235.104]
>PC との連携が必要なら、脆弱性の問題をほぼ PC 側に閉じ込めることが可能
これについて、どこを読んでなのか知りませんがPCと連携する必要/不要は話題にしたつもりないので触れるのは避けます。
ひょっとして、PCだけを想定して作られたサイトを閲覧する状況を書いた箇所の誤解でしょうか?
そうなら、誤解を招く表現だったようで、すみませんでした精進いたします。
Re:「ガラパゴス」でない環境はあるのでしょうか (スコア:1, すばらしい洞察)
Re:「ガラパゴス」でない環境はあるのでしょうか (スコア:1)
Re:高木氏 (スコア:2, すばらしい洞察)
> 個人的な感想ですが、なんとなくの偉そうな書き方に思えてしまいます。
もちろんこういう風に感じられる方がおられるのも覚悟の上で。
Re:高木氏 (スコア:1, すばらしい洞察)
高木先生に限らず、Net上で邪悪なものと闘ってる(つもりを含む)人は概ねそんなふうに見えます。
それこそ脆弱性ですよ (スコア:1, すばらしい洞察)
「偉そうだ」「上から見てる言い方だ」等と、反発を覚えてしまう事自体が、
その人間の「親しくないヒトからの忠告は受け付けない」と言う脆弱性ではないでしょうか?
と言うか、そーゆー事を言うヒトに限って、
「親しいヒト全てを下に見てる」様なところがあるので、
「自分より偉そうなやつは気に入らない」だけなんじゃないかと思いますが...。
Re:高木氏 (スコア:1, すばらしい洞察)
Re:高木氏 (スコア:1)
ドイツの偉い人 [wikiquote.org]も言っていました。
高木氏が時々良いサイトを解説しているのも、そのためかもしれず。
Re:高木氏 (スコア:1, すばらしい洞察)
世の中には煽ったり喧嘩を売ることで注目を集めようとする人たちがいて、彼もその一人だと私は認識しています。目的の正しさや意図的か天然かを無視した手段の話です。
セキュリティの啓蒙のような問題は「まず知ってもらう」という部分が難しいわけですから、その部分では彼の手法は成功していますが、内容に興味がない一般人の評価は、「役所や企業相手にネチネチ問い詰める面白い人」で、彼が本当に訴えたい「正しい理解」にまで繋がっているかという部分には大いに疑問が残ります。
Re:高木氏 (スコア:1)
Re:高木氏 (スコア:1)
「なあ、キミ。ウチに納品したシステムのことに関してなんかキミのこと馬鹿とか死ねとか言われているみたいなんだけど、これは一体どういうことか説明してくれんかね?」
Re:高木氏 (スコア:1)
やっぱり自分のことだと全然分かっていないわけですね。
Re:高木氏 (スコア:1)
最終的に情報が関係者に伝わればいいんです。
Re:高木氏 (スコア:1, すばらしい洞察)
だからなんじゃ?
温厚な文章 → そうそうそう同意同意(実は理解してない)→ 華麗にスルー
見下す文章 → なんだとー!!こいつ叩いてやる! → あら探しする → 間違いが見つからん(理解) → くそーなんかむかつくな
Re:かといってなぁ (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:かといってなぁ (スコア:1, おもしろおかしい)
教育水準を考えると、東アジアぐらいでしか通用しないぞ。
Re:高木氏 (スコア:1, 興味深い)
高木氏の目的は、意思決定権のある人を説得することじゃーない。
大多数の技術者達の常識を作ることなんだな。
“オレオレ証明書”だってどんな丁寧な文書でお偉いさんに渡しても、お偉いさんの発想は「それって常識なの?」で終わりなわけよ。内容は理解しないから。というか、理解する必要があるかわかるまで、理解しようとしない。
だから、まず必要なのはお偉いさんの下々にいる技術者みんなにその常識ができあがること。だけど、ほんの数年前はスラドでさえ“オレオレ証明書”の何が問題なのかわからない人がいーっぱいいたよね。暗号化はされるからいいじゃんとか。
で、大多数の技術者達の常識が変わったらあとは誰が何をするべきかな?
君はそれをしないの?