ke-tai.org ケータイサイト開発に関わる記事・情報を紹介

フォーラムからタレコミをいただきました。
情報提供ありがとうございます。

ドコモのサイトに「iモードブラウザ2.1」のページが追加されていました。
どうやら先日発表された端末の一部には、このiモードブラウザ2.1が搭載されるようです。

→　NTTドコモ　作ろうiモードコンテンツ　iモードブラウザ2.1の新機能一覧

iモードブラウザ2.1から搭載された新機能は以下の通りです。

• META要素によるキャッシュコントロール
• ユーザ入力領域データのキャッシュ対応
• KeyEventオブジェクトのキーコード追加

ブラウザの戻る機能で戻った場合でも、値を保持するかどうかをコントロールできるようになったり、JavaScriptのキーイベントで方向キーや決定キーが取得できるようになったようです。

端末スペック表によると、11/4現在でこのバージョンが搭載される予定となっているのは「N-01C」だけですが、今後もっと増えていくことでしょう。

関連：

• ドコモのクッキー対応端末（iモードブラウザ2.0）のシェアは現状どれくらいなのかを調べてみました
• Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」
• ドコモのiモードHTMLシミュレータIIが8.4にバージョンアップし、無駄にカッコよくなりました

10/18のau、11/4のソフトバンクに続いて、本日ドコモが2010-2011冬春モデル、計28機種を発表したようです。

公式はこちら。

→　NTTドコモ　報道発表資料　2010-2011冬春モデルに28機種を開発および一部機種を発売 [nttdocomo.co.jp]

→　NTTドコモ　製品　2010-2011冬春モデルの主な特長 [nttdocomo.co.jp]

各ニュースサイトでも話題になっています。

→　ITmedia +D モバイル　LTE、Android、3D液晶、プロジェクター携帯―ドコモ、2010年度冬春モデル28機種を発表 [plusd.itmedia.co.jp]

→　ケータイWatch　ドコモ、冬春モデル28機種を発表 [k-tai.impress.co.jp]

今回発表されたスマートフォンは4機種と、ソフトバンクに比べると控えめです。
それに引き替え、フィーチャーフォン（ガラケー）は19機種と、従来のケータイに力を入れているところが特徴のようです。

変わりどころとしては、プロジェクター搭載の「SH-06C」、どうみても外見がカメラの「L-03C」、本物のヒノキを使った「TOUCH WOOD SH-08C」など、かなりユニークなラインナップとなっています。

他にも、LTE（Long Term Evolution）を採用した次世代高速通信サービス「Xi（クロッシィ）」の開始時期が12/24であることなどが発表されたようです。

関連：

• ソフトバンクの2010年冬～2011年春モデルが発表されました
• auの2010年秋冬モデルが発表されました
• 国内スマートフォンのスペック比較サイト「スマートフォン比較表」

フォーラムからのタレコミです。
（情報提供ありがとうございます）

auが一般ユーザでもJavaで開発でき、通信量制限もない「EZアプリ （J）」を来春にリリースするとのことです。

→　ケータイ Watch　au、Javaアプリプラットフォーム「EZアプリ（J）」発表 [k-tai.impress.co.jp]

→　ITmedia プロフェッショナル モバイル　KDDI、Javaで開発できる「EZアプリ （J）」を来春に追加 [www.itmedia.co.jp]

公式ドキュメントはこちらで公開されています。

→　KDDI au: 技術情報 ＞ EZアプリ (J) [www.au.kddi.com]

HTTP/HTTPS通信が可能とのことで、BREW版EZアプリにあった1日最大6Mバイトまでの制限などはないとのことです。

auは以前にも「EZアプリ (Java)」というサービスを行っていましたが、A5407CA（2004年6月に発売）を最後に対応した端末は発売されておらず、あくまでBREWがメインというスタンスをとっていました。

非常に今更な感じはありますが、auもドコモマーケットのような、アプリ販売プラットフォームを作成しようと考えているのかもしれませんね。

関連：

• ドコモマーケット向けのiアプリ開発支援ツールとドキュメントが公開されています
• iアプリが今年11月にオープン化し、iアプリDXの機能の一部が個人にも開放されるようです
• ドコモのiアプリの新規格「Starプロファイル」の技術資料が公開されています

昨日の記事の続きです。

ヤマト運輸のケータイサイトに「かんたんログイン」関連の脆弱性があった問題について、やはり高木先生が日記にまとめてくれたようです。

→　高木浩光＠自宅の日記　かんたんログイン方式で漏洩事故が発生 [takagi-hiromitsu.jp]

本件は、発見者がIPAよりも先に高木先生に相談したということもあり、実際のアプリを使った詳しい検証記事の形にまとめられています。

原因はやはりキャリアIPアドレスの制限が行われていなかったことのようですね。

IPアドレスによる制限がない場合は、ごく簡単にユーザIDの詐称が行われてしまうので、注意が必要です。

もちろん高木先生としては、IPアドレス制限による対策などではなく、かんたんログイン自体を捨て、cookieによるログイン制御を行うように進めています。

関連：

• ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです
• Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」
• ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」

ニュースです。

ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようで、ケータイ界隈のニュースサイトやブログで話題になっています。

時系列的には、YOMIURI ONLINEが最初に記事を掲載したようです。

→　YOMIURI ONLINE（読売新聞）　ｉＰｈｏｎｅで人の情報丸見え…閲覧ソフト原因 [yomiuri.co.jp]

その後、多くのニュースソースで取り上げられたようです。
内容的にはこちらの記事が的確でわかりやすいと思います。

→　ITmedia News　クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性 [itmedia.co.jp]

クロネコヤマト本家サイトの謝罪文はこちらです。

→　ヤマト運輸　携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について [kuronekoyamato.co.jp]

どうも情報をまとめると、端末IDによるかんたんログイン機能を利用していたのに、IPアドレスによる制限をかけていなかった（もしくはiPhoneのIPアドレスは許可していた）というように読めます。
一番上のYOMIURI ONLINEの記事だと、一見iPhoneのアプリ「SBrowser」が悪いようにも読めるので、あまり正確ではないように感じますね。

ヤマト運輸側の対応がすばらしかったとの意見も出ています。

→　[Z]ZAPAブロ～グ2.0　ヤマト運輸の対応が素晴らしかった [zapanet.info]

また、脆弱性を見つけた本人のブログエントリーも公開されています。

→　Moba Photo Life!!: YOMIURI ONLINEに掲載された「iPhoneで人の情報丸見え」記事について、当事者から。

twitterやはてぶでは、いろんな情報が流れていますが、憶測の域を出ないものも多いので、このあたりにしておこうと思います。

本件は、最初の通報の時点から高木先生が絡んでいるようなので、おそらく近いうちに日記にまとめてくれることと思います。

また正確な情報が出てきましたら、記事にしたいと思います。

関連：

• マイコミジャーナルにもかんたんログインのセキュリティ問題の記事が掲載されています
• Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」
• ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」