スマートフォン開発についての2つの発表があった「はてな技術勉強会 #2」の資料と動画が公開されています

2010/11/29 月曜日 Posted in iPhone, 記事紹介・リンク | 1 Comment »

先日11月24日に行われた「はてな技術勉強会 #2」の資料と動画が公開されていたのでご紹介します。   → Hatena::Engineering はてな技術勉強会 #2 録画公開 「TitaniumによるiPhone/Androidアプリ開発」「iPhoneアプリ開発講座Web連携アプリ編」 [d.hatena.ne.jp]   今回はどちらの発表もスマートフォン開発関連だったようです。 「TitaniumによるiPhone/Androidアプリ開発」 (id:r_kurain 「iPhoneアプリ開発講座Web連携アプリ編」 (id:ninjinkun)   動画とスライドの両方が公開されており、大変わかりやすいです。 1つ目の発表は流行の「Titanium」ネタですし、興味のある方はチェックしてみてはいかがでしょうか。   関連: FlashによるAndroidアプリの作成の仕方をまとめた記事「FlashでAndroidアプリが作成可能に」 iPhoneやAndroid用のネイティブアプリがJavaScriptで作れる「Titanium Mobile」がすごいらしいです JavaScriptでiPhoneやAndroidのアプリを作れるTitanium Mobile Read more..

はてなのふるふるブックマークに対応してみました

2009/12/10 木曜日 Posted in iPhone | No Comments »

本日の「はてなブックマーク for iPhone」のリリースに合わせて、はてなにふるふるブックマークという機能ができたようなので、ke-tai.orgにも早速導入してみました。   →  はてな広報ブログ ”ふるふる”でブックマークしよう!はてなブックマーク for iPhoneリリース! [d.hatena.ne.jp]   こちらがマンガもついていてわかりやすいです。 → 川o・-・)<2nd life まほう少女はてなちゃん! iPhone のまき [d.hatena.ne.jp]   ふるふるブックマークとは、iPhoneを傾けて、画面を回転させることでブックマークするというものです。 これは結構面白いインターフェイスだと思います。 このようなインターフェイスは、他にも何か応用が利きそうですね。 ※寝っころがりながら見てると勝手にブックマークしようとすることもあるのが難点ですw   導入方法は簡単で、上記ページに公開されているscriptタグをページに貼るだけです。 当サイトはWordPressでできているので、共通ヘッダ部に一箇所貼るだけで全ページ対応することができました。 iPhoneでこのページをご覧の方は、是非ためしにふるふるしてブックマークしてみてください。   関連: はてなブックマークモバイル版の脆弱性とその対策について JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 iPhone OS 3.0のSafariでコピーふきだしを無効にするには Read more..

はてなブックマークモバイル版の脆弱性とその対策について

2009/10/2 金曜日 Posted in ニュース, 記事紹介・リンク | 3 Comments »

先日はてなブックーマークモバイル版で、他人になりすましてアクセスできるという脆弱性があったのですが、 はてなからそれに対する公式なコメントが出ているようです。 原因とその対策についても触れられており、モバイルサイトを作成している方には参考になると思われるため、ご紹介させていただきます。   → はてなブックマーク日記 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 [hatena.ne.jp]   ご存知のない方のために軽く説明すると、9月下旬にid:guldeen氏のブックマークコメントが、何者かに改ざんされるという事件がありました。 当初、パスワードが盗まれたのでは?という話になっていましたが、どうやらセッションハイジャックによるものだったようです。   はてなの報告によると、モバイル版の一部のページでコンテンツをキャッシュしており、その中でセッションIDをキャッシュしてしまうという問題があったようです。 ドコモ端末の場合、ごく最近発売された機種を除きほとんどの機種でクッキーが利用できないため、セッションはURLの後ろにセッションIDを保持して引き継ぐという形になります。 そのリンクを踏んだ他のユーザは、そのセッション情報を引き継いでしまい、他人でログインしたのと同じ状況になってしまっていたようです。   今回の場合は、 セッションIDがURLについた状態でキャッシュしてしまっていた セッション情報が本人のものであるかどうかのチェック処理が足りなかった という2点が原因となっていたようです。 1の方は当たり前ですがセッション情報を取り除いてからキャッシュするようにする。 2に関しては、セッションやDB内にユーザ(契約者)ID・端末IDなどを保存しておき、アクセスの要所要所(可能なら毎回)で端末側からIDを取り直しそれと比較する、といった処理が必要になると思われます。   はてな側では不正アクセス禁止法違反と言っていますが、利用者は普通にアクセスするだけで他人になりすませたわけで、不正アクセスかどうかは微妙なところだと思います。   ケータイのセッション管理(特にドコモ端末)は、PCに比べセキュリティの問題が大きく関わってきます。 今回の件を教訓として、セッションを使ったサービスを開発する場合には、より一層の注意をしたほうが良さそうですね。   関連: JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 ソフトバンクの携帯用GatewayをPCで通る方法があるようです 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました Read more..