アカウント名:
パスワード:
iPhoneが発売され、いよいよ日本の携帯のガラパゴス文化が際立ってきている今日この頃だが、 皆さんはケータイWebをどれくらい利用しているだろうか? そしてそのセキュリティをどれだけ気にしているだろうか?Windows Mobileなスマートフォンは、ベースOSの特性から直感的に注意深く使われていると思うが、ガラパゴス携帯のセキュリティは見過ごされがちであるか 忘れられがちでは無いか?そうでないにしても、より真剣に配慮する時期に来ているのではないだろうか。
まず、6/24の高木浩光氏の日記ケータイWebはそろそろ危険 [takagi-hiromitsu.jp]だが、 GoogleとKDDIの提携により実現されているWeb検索機能が、検索結果でのURLが自明でないという指摘があった。 サービスを提供する側、利用する側に存在した「あまり遠くへ行かない」という暗黙の了解が通用しなくなっているのに、 ユーザーを保護する仕組みは旧来の前提を頑なに固持したまま実装されているという事が解る。 (一方、海外のケータイはどうかというと、本体がトロイの木馬に狙われるなど危険と向き合ってきたSymbianの場合 [itmedia.co.jp]という記事が7/2に掲載されている。)
次に、高木氏の6/29の日記EZwebサイトでSession Fixation被害発生か? [takagi-hiromitsu.jp]では、 Webアプリサーバの設定ミス等でセッションが意図せず共有され、顧客情報が漏れるという「au Books」での事例が紹介されている。(auのプレスリリース(6/26) [kddi.com]) これは、携帯Webサービスはデバッグがしにくいためか脆弱性のチェックがおろそかになっていて、利用者が思っているほど安全に利用出来ない、 という事が原因の一つではないかと思う。6/13のYouichi’s Log(分家)INFOBARでtwitterやってるひとはしばらくやめたほうがいい [hatena.ne.jp]という指摘も、 ガラパゴス携帯のブラウザ毎の挙動を、Webサービス提供者が把握しきれない難しさの一例になるかもしれない。
確かに、通信速度も遅くて画面も狭い端末でネットなんかして楽しいの?無理して使わなければ安全なのに、 という方も居るとは思う。確かにそれはその通りで自分も最近までそう思っていた。 しかし、定額プランに入れて使っていると、ついついニュースサイトを巡回、ムービーを閲覧、自宅サーバーにメモやブログを残し、 Twitterに投稿、地図・路線・グルメ情報の検索などPCの無い環境から行っていて、気がついたときには月にパケット料金換算で 13~15万円請求されている通信が発生していた事に驚かされた。(更に、Amazonの注文や宅配便の確認、チケット予約などが加わることもある。) iPhoneでAjax、LGのYoutube携帯など、ケータイのリッチコンテンツ対応が進んでいくと更にケータイWebを積極的に利用する流れが 加速するのは避けられないと思う。 そうなった時に、携帯ブラウザによるWebの巡回がPCでの巡回とさほど変わらない程度に安全と言えるようになるためには、 携帯キャリアはガラパゴスな携帯のブラウザ実装を見直し、Webサービス提供者は携帯ブラウザで巡回しても、 安全性を確保しやすいセーフティーなデザインを本気で検討していく必要があるのではないか。 利用者としては、「あまり遠くへ行かされない」旧来の前提の変化、提供されているWebが「思っているほどユーザーの安全に無頓着」 である現状を認識しておかなければいけないのではないか。(「ワンクリック詐欺サイトがあるから、メールのリンクは迂闊に開かない」程度の用心はあると思うが。)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
タレコミメモ (スコア:0)
iPhoneが発売され、いよいよ日本の携帯のガラパゴス文化が際立ってきている今日この頃だが、 皆さんはケータイWebをどれくらい利用しているだろうか? そしてそのセキュリティをどれだけ気にしているだろうか?Windows Mobileなスマートフォンは、ベースOSの特性から直感的に注意深く使われていると思うが、ガラパゴス携帯のセキュリティは見過ごされがちであるか 忘れられがちでは無いか?そうでないにしても、より真剣に配慮する時期に来ているのではないだろうか。
まず、6/24の高木浩光氏の日記ケータイWebはそろそろ危険 [takagi-hiromitsu.jp]だが、 GoogleとKDDIの提携により実現されているWeb検索機能が、検索結果でのURLが自明でないという指摘があった。 サービスを提供する側、利用する側に存在した「あまり遠くへ行かない」という暗黙の了解が通用しなくなっているのに、 ユーザーを保護する仕組みは旧来の前提を頑なに固持したまま実装されているという事が解る。 (一方、海外のケータイはどうかというと、本体がトロイの木馬に狙われるなど危険と向き合ってきたSymbianの場合 [itmedia.co.jp]という記事が7/2に掲載されている。)
次に、高木氏の6/29の日記EZwebサイトでSession Fixation被害発生か? [takagi-hiromitsu.jp]では、 Webアプリサーバの設定ミス等でセッションが意図せず共有され、顧客情報が漏れるという「au Books」での事例が紹介されている。(auのプレスリリース(6/26) [kddi.com]) これは、携帯Webサービスはデバッグがしにくいためか脆弱性のチェックがおろそかになっていて、利用者が思っているほど安全に利用出来ない、 という事が原因の一つではないかと思う。6/13のYouichi’s Log(分家)INFOBARでtwitterやってるひとはしばらくやめたほうがいい [hatena.ne.jp]という指摘も、 ガラパゴス携帯のブラウザ毎の挙動を、Webサービス提供者が把握しきれない難しさの一例になるかもしれない。
確かに、通信速度も遅くて画面も狭い端末でネットなんかして楽しいの?無理して使わなければ安全なのに、 という方も居るとは思う。確かにそれはその通りで自分も最近までそう思っていた。 しかし、定額プランに入れて使っていると、ついついニュースサイトを巡回、ムービーを閲覧、自宅サーバーにメモやブログを残し、 Twitterに投稿、地図・路線・グルメ情報の検索などPCの無い環境から行っていて、気がついたときには月にパケット料金換算で 13~15万円請求されている通信が発生していた事に驚かされた。(更に、Amazonの注文や宅配便の確認、チケット予約などが加わることもある。) iPhoneでAjax、LGのYoutube携帯など、ケータイのリッチコンテンツ対応が進んでいくと更にケータイWebを積極的に利用する流れが 加速するのは避けられないと思う。 そうなった時に、携帯ブラウザによるWebの巡回がPCでの巡回とさほど変わらない程度に安全と言えるようになるためには、 携帯キャリアはガラパゴスな携帯のブラウザ実装を見直し、Webサービス提供者は携帯ブラウザで巡回しても、 安全性を確保しやすいセーフティーなデザインを本気で検討していく必要があるのではないか。 利用者としては、「あまり遠くへ行かされない」旧来の前提の変化、提供されているWebが「思っているほどユーザーの安全に無頓着」 である現状を認識しておかなければいけないのではないか。(「ワンクリック詐欺サイトがあるから、メールのリンクは迂闊に開かない」程度の用心はあると思うが。)