iPhoneサイトのデザインがまとめられた「iPhoneデザインアーカイブ」がオープンしたとのことです
Tweet
2010/5/26 水曜日 matsui Posted in iPhone, タレコミ, 記事紹介・リンク No Comments »
メール経由でタレコミをいただきました。
(情報提供ありがとうございます)
iPhoneサイトのデザインがまとめられた「iPhoneデザインアーカイブ」がオープンしたとのことです。
→ iPhoneデザインアーカイブ [iphonedesignarchive.jp]
サイトの名前を聞いてピンと来た方も多いかもしれませんが、ケータイサイトのデザインをまとめたサイトで有名な、あの「モバイルデザインアーカイブ」の姉妹サイトとなっています。
内容は、iPhone向けで良質なデザインを提供しているサイトを紹介し、カテゴリ別にまとめていくという形になっています。
モバイルデザインアーカイブでは、(当たり前ですが)日本国内のサイトだけが紹介されていたのですが、こちらのサイトでは、海外のサイトも積極に紹介されており、なんだか新鮮です。
iPhoneデザインアーカイブのサイト自体のデザインもiPhoneを模したものになっており凝っていますね。
iPhone向けのデザインをしているデザイナーさんは必見のサイトだと思います。
関連:
Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」
Tweet
2010/5/25 火曜日 matsui Posted in SoftBank, ニュース, 記事紹介・リンク No Comments »
昨日に続いて、Yahoo!ケータイのかんたんログインで成りすましを許してしまう問題についてです。
この問題を発表した徳丸さんからコメント欄に投稿をいただきまして、講演資料も公開しているとの情報をいただきました。
こちらの資料がわかりやすく、内容もかなり深く興味深いものでしたので、ぜひご紹介したいと思います。
→ HASHコンサルティング WAS Forum Conference 2010講演資料 ケータイ2.0が開けてしまったパンドラの箱 [hash-c.co.jp]
大きな画面で読むには、アップ先のこちらのサイトから直接読むのが良いでしょう。
(フル画面表示もできます)
→ slideshare WAS Forum 2010カンファレンス:ケータイ2.0が開けてしまったパンドラの箱 [slideshare.net]
全60ページもありますが、内容もストーリーがありドラマティック(?)で、かなり読み応えのあるものとなっています。
昨日の記事に書いたsetRequestHeaderメソッドでUserAgentの書き換えについても資料内に答えがあり、End-to-EndのSSLの場合のみ可能で、それ以外の場合は不可能なようです。
SSL以外ではひとまず機種判定で防ぐという対策はできるようですね。
ソフトバンクの端末はかなりわけのわからない状況になっている中、よくここまでの情報を調べまとめあげたと思います。本当にお疲れ様でした。
ケータイWeb開発に関わる方であれば、必ず目を通しておいた方がよい資料だと思います。
関連:
Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題があるとのことです
Tweet
2010/5/24 月曜日 matsui Posted in SoftBank, ニュース, 記事紹介・リンク 5 Comments »
以前、ドコモのiモードブラウザ2.0のJavaScript機能とDNSリバインディングとを組み合わせて、かんたんログイン認証で成りすましを行うという脆弱性を発表したHASHコンサルティング株式会社ですが、今回またソフトバンクの一部端末でも同様の問題が起きるという情報を公開したようです。
→ HASHコンサルティング株式会社 Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 [hash-c.co.jp]
影響がある機種は2006年冬モデル以降となっているのですが、その多くはサーバやアプリでHostフィールドをチェックすることで対策が可能です。
これらの端末の場合は、ドコモのiモードブラウザ2.0と同じ脆弱性ですので、既に多くの方が対応済みかと思います。
参考:
→ ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 [ke-tai.org]
しかしながら、「2008年春モデル以降のシャープ製端末の大半」および「820N」「821N」「830CA」「940SC」(※現在のところ判明している機種であることに注意)に関しては、現状アプリ側での対策ができないようです。
(setRequestHeaderメソッドでHostフィールドを上書き可能なため)
取り急ぎアプリ側で取れる苦しい対応としては、ユーザエージェントで上記端末を判定して、非対応機種として弾くことくらいかなと思ったのですが、シャープ端末はシェアが大きいですし難しいでしょう。
またこれらの機種のブラウザのsetRequestHeaderメソッドでUserAgentが上書きできるかどうかが気になるところです。(もしこれができるなら、端末判定も信用できません)
もちろん、即日対応可能な内容ではないでしょうが、かんたんログインから他の認証方法に移るのが確実です。
上記のサイトでは、
・端末シリアル番号またはユーザIDなど端末固有IDをかんたんログインおよびセッション管理に使用しない
・かんたんログインを利用するユーザに「Ajax規制」を「許可しない」に設定するか、あるいは「スクリプト設定」を「off」にしないと、なりすましの危険性があると注意喚起する
を解決策・回避策として挙げています。
発見者の徳丸さんはいつもケータイ関係で重要な脆弱性を発表しておりスゴイですね。
関連:
国内ケータイ各社のcookie対応率がまとめられた記事「携帯Webのクッキー利用について調べてみたメモ」
Tweet
2010/5/21 金曜日 matsui Posted in DoCoMo, 記事紹介・リンク 1 Comment »
モバツイの中の人が、ケータイ各社のcookie対応状況について調べた結果がまとめられていましたのでご紹介させていただきます。
→ F’s Garage:携帯Webのクッキー利用について調べてみたメモ [milkstand.net]
こちらの日記でも触れられていました。
→ 高木浩光@自宅の日記 クッキー食えないのはドコモだけ [takagi-hiromitsu.jp]
結果は下の記事の方に表でまとめられたものがあるので、そちらのほうがわかりやすいです。
結果としては、auおよびSoftBankは、ほぼ全ての端末(98.7~99.9%)が対応しているのに対し、ドコモは28%とまだまだ普及は遠いようです。
最近、かんたんログインのセキュリティに対する問題が露見してきているので、今後はクッキーを使った認証が主流になっていきそうです。
ちょっと時間がなくてまだ詳しく調べていないのですが、mod_chxjにクッキーシミュレートの機能があったはずなので、もしかしたらこういうソフトを利用することで解決ができるのかもしれません。
→ mod_chxj wiki クッキーシミュレート機能 [sourceforge.jp]
→ mod_chxj スレッド Cookie シミュレート機能のみ有効にしたい [sourceforge.jp]
関連:
無料で読めるweb creatorsの過去連載記事「今知っておくべきケータイサイト制作事情」
Tweet
2010/4/16 金曜日 matsui Posted in 記事紹介・リンク No Comments »
MdN Designのサイトで、web creatorsの過去のケータイ関連連載記事が公開されていますのでご紹介します。
→ MdN Design Interactive 今“ 知っておくべき”ケータイサイト制作事情 第1回 [mdn.co.jp]
→ MdN Design Interactive 今“ 知っておくべき”ケータイサイト制作事情 第2回 [mdn.co.jp]
今のところ記事は第2回分まで公開されており、第1回は2009年11月、第2回は2009年12月と、大体半年くらい前の記事のようです。
内容としてはそれぞれ次の通りです。
【第1回 目次】
【第2回 目次】
第1回ではケータイプロジェクトに対する概論、そして第2回はケータイSEOがテーマとなっています。
元が雑誌なだけに丁寧にかかれた記事で、大変参考になると思います。
恐らく1ヶ月に1度のペースで更新されていくはずです。
このように過去の雑誌記事を無料で公開してくれるのは嬉しいですね。
関連:
Flash プロの現場の仕事術 CS5/CS4/CS3対応
体系的に学ぶ 安全なWebアプリケーションの作り方
ケータイHTML ポケットリファレンス
携帯サイト年鑑2010
携帯サイトSEO&SEM向上テクニック
携帯Flashスクリプト入門
ケータイHTMLコンパクトリファレンス
札幌のソーシャルゲーム開発なら
