ke-tai.org ケータイサイト開発に関わる記事・情報を紹介

JavaScriptでiPhoneやAndroidのアプリを作れるTitanium Mobile

2010/3/5 金曜日 Posted in 記事紹介・リンク | No Comments »

少し前の記事ですが、@ITにiPhone・AndroidのアプリをHTMLとJavaScriptで作るという記事がありましたのでご紹介します。   →　HTML＋JavaScriptでiPhone/Androidアプリを作れるTitanium Mobileとは（1/3） - ＠IT [www.atmarkit.co.jp]   通常アプリを作るには、iPhoneはObjective-C、AndroidではJavaで作成するのが一般的ですが、この記事によると「Titanium Mobile」という開発環境を使って、HTML+JavaScriptでアプリ開発が可能なようです。 またiPhone・Androidだけではなく、「Titanium Desktop」を使うことで、MacやWindows向けのアプリも出力できるとのことです。 イメージとしてはAirに近い形なんですかね。   1年程前にご紹介したこちらの記事と同じ著者ですね。 このときは「PhoneGap」を使って開発する例が挙げられていました。 →　ke-tai.org　JavaScriptでiPhoneアプリを作る方法 – AppStore登録も可能 [ke-tai.org]   1つのコードで多くのプラットフォームで動くアプリが開発できるのは魅力ですね。 興味のある方はチェックしてみてはいかがでしょうか。   関連： JavaScriptでiPhoneアプリを作る方法 – AppStore登録も可能 iPhone開発について解説された連載記事「目指せ！iPhoneアプリ開発エキスパート」 90秒で理解するiPhone JavaScript（マルチタッチ編） Read more..

はてなのふるふるブックマークに対応してみました

2009/12/10 木曜日 Posted in iPhone | No Comments »

本日の「はてなブックマーク for iPhone」のリリースに合わせて、はてなにふるふるブックマークという機能ができたようなので、ke-tai.orgにも早速導入してみました。   →　 はてな広報ブログ　”ふるふる”でブックマークしよう！はてなブックマーク for iPhoneリリース！ [d.hatena.ne.jp]   こちらがマンガもついていてわかりやすいです。 →　川o・-・）＜2nd life　まほう少女はてなちゃん！ iPhone のまき [d.hatena.ne.jp]   ふるふるブックマークとは、iPhoneを傾けて、画面を回転させることでブックマークするというものです。 これは結構面白いインターフェイスだと思います。 このようなインターフェイスは、他にも何か応用が利きそうですね。 ※寝っころがりながら見てると勝手にブックマークしようとすることもあるのが難点ですｗ   導入方法は簡単で、上記ページに公開されているscriptタグをページに貼るだけです。 当サイトはWordPressでできているので、共通ヘッダ部に一箇所貼るだけで全ページ対応することができました。 iPhoneでこのページをご覧の方は、是非ためしにふるふるしてブックマークしてみてください。   関連： はてなブックマークモバイル版の脆弱性とその対策について JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 iPhone OS 3.0のSafariでコピーふきだしを無効にするには Read more..

iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について

2009/11/26 木曜日 Posted in ニュース, 記事紹介・リンク | No Comments »

フォーラムに複数の方からタレコミをいただきました。 （情報提供ありがとうございます） ドコモのiモードブラウザ2.0に搭載されているJavaScript機能と、かんたん認証を組み合わせた不正アクセスの方法について話題になっているようなので、ご紹介させていただきます。   まず時系列的にはこちらのエントリーが発端となっているようです。 →　mpw.jp管理人のBlog　iモード専用サイトのhtmlソースの閲覧方法 [mpw.jp] JavaScriptとDNSの書き換えを使って、IPアドレス制限がかけられたサイトからhtmlソースを抜き出す方法がまとめられています。   こちらの情報をベースに、HASHコンサルティングの徳丸浩さんが報告書の形にまとめたものがこちらです。 →　HASHコンサルティング　セキュリティ情報　iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 [hash-c.co.jp]   各種ニュースサイトでも取り上げられています。 →　CNET Japan　iモードブラウザ2.0の「かんたん認証」を利用した不正アクセス手法が発見される [japan.cnet.com]   実際の不正アクセス手法は、上記HASHコンサルティングさんのサイト上で図解入りで説明されていますので、そちらを参照されるのがわかりやすいと思います。 通常JavaScriptのXMLHttpRequestは、他ドメインと通信できないようになっていますが、DNS Rebindingを使ってそれを抜けている形のようですね。   コンテンツ開発側としてまず気になるのは対策方法ですが、上記のサイトでは次のような回避方法が記載されています。 iモードIDをかんたんログインおよびセッション管理に使用しない HTTPリクエストヘッダのHOSTフィールドの正当性をチェックする   DNSの書き換えを利用した不正アクセスですので、ホスト名のチェックで対策できるようです。 他にも「VirtualHostを利用し、デフォルトのドメイン領域にはコンテンツを置かない」という方法でも回避できるようです。 また下記のサイトではmod_rewriteを使った対策方法が提案されています。 →　 ぱらめでぃうす　【対策編】iモード専用サイトのhtmlソースの閲覧方法 [parame.mwj.jp]   本件については、あの高木先生も「建設予定地」として準備しており、近いうちに何らかの記事にまとめてきそうな感じになっています。 →　高木浩光＠自宅の日記　ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ [takagi-hiromitsu.jp]   かんたんログイン機能をご利用のサイトを運営中の方は、まずご自身のサイトをチェックしてみてください。   関連： ＠ITで開始されたセキュリティに関する連載記事「再考・ケータイWebのセキュリティ」 不具合により停止されていたドコモのJavaScript機能が復活するようです JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 Read more..

不具合により停止されていたドコモのJavaScript機能が復活するようです

2009/10/26 月曜日 Posted in DoCoMo | No Comments »

今年の5月にドコモから発売されたJavaScript対応端末ですが、セキュリティ上の不具合があったらしく、販売開始後すぐにソフトウェアアップデートによりJavaScript機能が停止されてしまいました。 あれから数ヶ月、停止されていたJavaScript機能がようやく復活するようです。   →　ITMedia +D Mobile　ドコモ、拡張iモードブラウザのJavaScriptを利用可能に [itmedia.co.jp] →　CNET Japan　iモードブラウザ、ようやくJavaScript対応へ [cnet.com]   JavaScriptはソフトウェアアップデートで利用可能になります。 対象となるのは、2009年夏（iモードブラウザ2.0）モデルで、SH-05A、SH-06A、SH-06A NERVが10月27日。 それ以外の機種は11月から順次提供されるとのことです。   一説には他端末のユーザIDを騙れてしまうのでは？などという話もあったドコモのJavaScriptですが、ようやく対応が終わり復活となったようです。 かなり長かったですね。 該当機種をお持ちの方は試してみてはいかがでしょうか。   関連： JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 iモードブラウザ2.0についてのまとめ（ウノウラボ） ドコモのiモードブラウザの仕様が2009年夏モデルから大幅に変更になるようです Read more..

JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」

2009/8/5 水曜日 Posted in 記事紹介・リンク | 4 Comments »

昨日に続きセキュリティ関連の話題です。 下記のブログ記事が大変面白く、参考になる良エントリーでしたのでご紹介させていただきます。   →　徳丸浩の日記　携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 [www.tokumaru.org]   今年の5月にドコモから発売されたJavaScript対応端末ですが、販売開始後すぐにソフトウェアアップデートによりJavaScript機能が停止されてしまいました。 上記エントリーでは、この停止の原因となった脆弱性について仮説を立てて検証しています。   詳しい内容は上記ブログを読んでいただくとして、概要としては、XMLHttpRequestのsetRequestHeaderメソッドとXSS脆弱性とを組み合わせて、ユーザエージェントやiモードIDなどのリクエストヘッダを改ざんし、かんたんログインのなりすましを行うことができたのではないか、というものとなっています。   iモードIDは、ドコモサーバ側で付与されるヘッダ情報「X-DCMGUID」から取得します。 通常この情報はケータイ上からは改ざんできませんし、もし万が一改ざんできたとしてもドコモのサーバ側で上書きされるはずです。（現状改ざんできないので実際に試したわけではないですが） もちろんPCからのアクセスであれば、容易にIDを騙ることができますが、通常ケータイサイトでは、Firewallや.htaccessなどによるIPアドレス帯域による制限を行うため、ケータイ以外からはアクセスできません。 しかしながら、ドコモ以外のキャリアを名乗ることによって、サーバ側で上書きされないX-UP-SUBNOやX-JPHONE-UIDを変更し、かんたんログインを突破できたのではないか、という仮説となっています。 ドコモからは、販売停止やJavaScript機能の停止の理由は公表されていないため、あくまで仮説ではあるものの、かなり興味深い内容ですね。   他にもソフトバンクに関しては、昨日ご紹介した記事「SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ [d.hatena.ne.jp]」で示されたような、かんたんログイン機能への脅威についても言及しています。   よく「かんたんログインは使うな」「かんたんログインの利用を推奨するような記事を書くな」というご意見をいただくことがあります。 もちろんごもっともな意見ではあるのですが、セキュリティと利便性は裏表な部分もあり、キャリアが代替手段を出すまでは、サイトの内容やクライアントの意向によっては導入せざるを得ない場合も多々あると思います。 我々に出来ることは、できる限り正しい情報を把握し、より安全に使える保険を一つ一つ積み重ねていくことが大事なのではないかと思っています。   セキュリティに関する記事の場合は特に、はてなブックマーク上からの突っ込みコメントが多くなる傾向があります。 ご指摘いただいた内容に関しては、可能な限り再チェックし、記事に不適切な部分があるのであれば修正していきたいと思っています。 突っ込みをいただく場合は、出来ればはてなブックマークからのコメントだけではなく、コメント欄やフォーラムもご利用いただけると、内容の確認が行いやすく助かります。 ぜひご協力をお願いいたします。   関連： ソフトバンクの携帯用GatewayをPCで通る方法があるようです 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました ケータイの認証用IDの現状をまとめたブログ記事「携帯各キャリアの固有IDについて (全キャリア対応)」 Read more..