Archive for 11月, 2011

auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです(続きの続き)

2011/11/30 水曜日 Posted in au, タレコミ, ニュース, 記事紹介・リンク | No Comments »

続報が来ましたので、記事にしたいと思います。 前回の記事はこちら、前々回の記事はこちらです。   前回までのおさらい。 KimuraMemoさんの記事からの情報によると、auの2011年秋冬モデルである「F001」のPCサイトビューアーからアクセスした場合、接続元IPアドレス帯域がEZfactoryのページにある情報と違い、何かおかしい気がする。   結論からいうと、KDDIの新GWで「かんたんログイン」のなりすましの問題が発覚し、その対処のためあえて異なるIPアドレス帯域を使っていたようです。 一時期は危険な状態にありましたが、現在は問題が解決しているとのことです。 このあたりの経緯は徳丸氏の書いた記事に詳しくまとめられています。   → 徳丸浩 KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された [blog.tokumaru.org]   F001発売後まもなくの時点で、ひそかに徳丸氏の元に脆弱性の相談がありKDDIに連絡、その後翌日すぐに対処が行われたとのことです。   EZfactoryのサイトにも修正情報が掲載されています。 (フォーラムからも情報提供いただきました。ありがとうございます。) → KDDI au EZfactory 技術情報 IPアドレス帯域 [au.kddi.com]   削除 「※2011年秋冬モデル以降の一部機種ではPCSVとEZブラウザのIPアドレス帯域は統合されますが、 例えば、ユーザーエージェントを組み合わせることでブラウザを判別することができます。」 削除 「※2011年秋冬モデル以降の一部機種では、EZブラウザ、PCサイトビューアーのIPアドレス帯域が統一されます。」 追加情報として、「2011年秋冬モデル以降の一部機種のEZサーバ」という新たな帯域情報が掲載されています。 結果としては帯域が増えたくらいで、以前に近い形に落ち着きましたね。   「元を正せばかんたんログイン自体が悪い」という意見には賛成のため、本質ではないかもしれませんが、KDDIの今回予定されていたEZサーバとPCSVサーバのIPアドレス帯域の統合という作業は、本当にやるべきだったのか疑問に感じます。 (結局元の形に戻ってしまっていますし) 端末のPCサイトビューアーの出来に依存してしまうため、危険なかんたんログインが今回のように更に危うい形になってしまうと思います。   私自身、このようなサイトを運営していながら、すっかりガラケーの仕事からは離れてしまっているので、ここ最近の現場はわからないですが、技術者の多くが、問題のあるかんたんログインは実装したくないというのが本音になってきていると思います。 なぜなら単純で簡単なクッキー実装に比べて、あまりにリスキーで難易度が高いためです。   ただ、そこでキモとなるのは、クッキー非対応端末、具体的にはiモード1.0端末のシェアです。 この夏に出たL-10Cなど、iモード1.0端末は最近発売された機種の中にもまだ存在します。 久しぶりに調べてみましたが、2011年10月時点で、「ドコモの約45.1%、全体の約24.7%がクッキー非対応端末」でした。 → 参考: モバイルユーザー傾向DATABOX(2011年10月) [web-tan.forum.impressrd.jp]   算出方法は、前回の調査と同様です。 端末ごとのシェアが不明のため、そこがアバウトなのと、ウェブをアクティブに使う層は、新しい端末を使う傾向があるので、実際のクッキー非対応端末のシェアはもう少し低いと思われます。あくまで参考程度にお使いください。 ・2010年10月時点で、ドコモ内の70.6%がクッキー非対応、全キャリアで40.2%がクッキー非対応 ・2011年2月時点で、ドコモ内の53.7%がクッキー非対応、全キャリアで29.8%がクッキー非対応 でしたので、過去に比べて順調に下がってはきています。 ただ、この数値を多いとみるか少ないとみるかは、多くの場合が顧客(=システム開発の発注元)の意向次第というところがあるでしょう。   私としてはクッキー非対応端末のシェアは確実に減りつつありますので、もう危なっかしいかんたんログインを新規で制作する必要はないと思います。 また既存のシステムでも、クッキー対応端末を判別して分けるなどで、かんたんログインのリスクを下げる形に徐々に移行していくとよいかもしれません。   関連: auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです(続き) auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです auのIPアドレス帯域が追加され、EZブラウザとPCサイトビューアーとが共通の帯域となるようです Read more..

2011年12月17日に札幌のガレージラボで「Titanium Mobileハンズオン」が行われます

2011/11/28 月曜日 Posted in Android, iPhone, お知らせ | No Comments »

イベントのお知らせです。 2011年12月17日に札幌のガレージラボで、「iPhone/Androidアプリを作ろう! 増井雄一郎氏によるTitanium Mobileハンズオン」が行われます。   日時 : 2011/12/17 13:00 ~ 17:00 定員 : 20 人 会場 : Garage labs (札幌市中央区北3条西14丁目2-2) 料金 : 3,000円 形式 : ハンズオン形式(実際にコードを書きながら、基本部分の勉強をしていきます) 対象 : iPhone・Androidアプリ開発に興味のある方   Titanium Mobileは、JavaScriptでiPhone/Android両対応アプリが開発できるという、最近かなり注目されている技術で、これまでke-tai.orgで何度も取り上げさせていただいたことがあります。 今回の講師である増井氏は、そのTitanium Mobileの開発元であるAppcelerator社のエバンジェリストで、名実共にTitanium Mobileの国内第一人者と言えるでしょう。   その他の詳細はこちらのページからご確認ください。 イベントへの申し込みもこちらから行えます。   → Facebookイベント iPhone/Androidアプリを作ろう! 増井雄一郎氏によるTitanium Mobileハンズオン [facebook.com] → ATND iPhone/Androidアプリを作ろう! 増井雄一郎氏によるTitanium Mobileハンズオン ... Read more..

ドラッグ&ドロップだけで作れる!!PCサイトを誰でも簡単にスマホサイトに変換できるサービス「shutto」

2011/11/24 木曜日 Posted in Android, iPhone, デザイン | 4 Comments »

興味深いサービスがありましたので、ご紹介させていただきます。 PCサイトをドラッグ&ドロップだけでかんたんにスマホサイトに変換できる「shutto」というサービスが出来たようです。      → shutto | カンタンスマホ変換サービス [shutto.com]   使い方は簡単で、まず変換したい対象となるページのURLを入力します。 すると、編集画面が開きますので、あとは欲しい要素をドラッグ&ドロップして組み立てていくだけになります。 タブやテーブル組などを使っていくと、いかにもスマホっぽいデザインのサイトがガシガシ出来ていき面白いです。 テキスト要素などは、上部メニュー左端のアイコンから編集することができます。   少し使ってみた感じだと、向いているサイト、向いてないサイトはありそうですね。 基本的には企業や店舗などのホームページに向いているように感じます。   表示はJavaScriptを多用して行われています。 出来たサイトのソースを見る限り、サイト作成時に値を取得して作っているのではなく、JavaScriptで最新の値を取得してきて描画しているようです。 ただ、それなりにキャッシュされているようで、変更をすぐに追従はしてくれないようなので注意が必要です。   使い勝手も含めて、なかなか面白いサービスになっていると思います。 まだベータ版のようですので、今後の進化にも期待ですね。 「スマホサイト対応をしたいけれど時間がなくて」という方は、ぜひ一度試してみてはいかがでしょうか。   関連: iPhoneやAndroidなどのスマートフォンをはじめ、各種タブレットなどでの画面サイズ確認が簡単に確認できるサービス「Screenfly」 ガラケー独自のstyle=”○○○”形式で書かれたインラインCSSをHTMLと分離してくれるサービス「Cascader」 ASCII.jpに掲載されているスマートフォンサイトキャプチャ集「絶対見ておきたい有名企業のスマホサイトまとめ」、「スマホサイトを作る前に見たい国内38社の実例」 Read more..

auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです(続き)

2011/11/23 水曜日 Posted in au, ニュース, 記事紹介・リンク | No Comments »

前回の記事の続きです。   auの2011年秋冬モデルである「F001」のヘッダ問題について、Kimura.Memoさんが追加調査を行い、その結果が公開されています。 → Kimura.Memo F001のPCサイトビューアーでsetRequestHeader [d.hatena.ne.jp]   結論としては、ユーザエージェントの変更も、HTTP_X_UP_SUBNOの追加も出来ないとのことです。 さすがにauさんも富士通さんも、そこまで抜けてはいないということで一安心ですね。   ただ、こちらの「bROOM.LOG !」さんのブログエントリーでは、単純な方法だけではなく、何かしらの方法で値を変更・追加できる可能性も示唆されています。 → [ bROOM.LOG ! ] auのPCサイトビューアーで脆弱性が発覚か? – 続:auのEZWebがそろそろ終了しそうな件 [blog.rocaz.net]   auのカスタマーサポート宛に質問を投げてみたとのことなので、その回答に期待したいところです。 何か続報があればまた取り上げさせていただきたいと思います。   また、PCサイトビューアー上からアクセスすると、公式サイト上に記載されていないIPアドレス帯域からアクセスが来るとのことですが、それがいつでもそうなのか、たまには記載されている帯域からのアクセスが来ることがあるのかも気になるところです。 端末が手元に無いのが非常にもどかしい><   関連: auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです auの今後のサーバ仕様変更に伴うセキュリティについて言及した記事「EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点」 auのIPアドレス帯域が追加され、EZブラウザとPCサイトビューアーとが共通の帯域となるようです Read more..

auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです

2011/11/21 月曜日 Posted in au, 記事紹介・リンク | No Comments »

auの2011年秋冬モデルである「F001」の技術情報について、興味深い記事がありましたのでご紹介させていただきます。 情報元は、これまで何度もご紹介させていただいているKimura.Memoさんです。 いつも良い記事をありがとうございます。   → Kimura.Memo F001のHTTPヘッダ [d.hatena.ne.jp]   まず従来機種にあった「HTTP-X-UP-*」系のヘッダの多くが無くなっているようです。 上記の記事内にもありますが、画面の大きさを取得する「HTTP-X-UP-DEVCAP-SCREENPIXELS」が無くなったのは痛いですね。 画像などの出し分けロジックに影響がありそうです。 (今後はドコモのように機種ごとで持つ形にしないといけないかもしれません)   EZ番号(旧称サブスクライバID)が取得できる「HTTP_X_UP_SUBNO」の扱いは変わっていないようですが、通常のEZwebブラウザとPCサイトビューアーのIPアドレス帯域が統一された関係で、PCサイトビューア+JavaScriptを使っての値のねつ造ができないかどうかが気になります。 上記の記事を見ると、本来来るはずのない帯域からアクセスが来ているとのことなのですが、この辺りの問題が解決できてなかったからとかではないでしょうね。。。   この問題について詳しく知りたい方は、こちらの記事が参考になります。 → ockeghem(徳丸浩)の日記 EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点 [d.hatena.ne.jp]   関連: auの今後のサーバ仕様変更に伴うセキュリティについて言及した記事「EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点」 auのIPアドレス帯域が追加され、EZブラウザとPCサイトビューアーとが共通の帯域となるようです auの2011年夏モデルの発売に伴いEZfactoryが更新されているようです Read more..