パスワードを忘れた? アカウント作成
12718281 story
セキュリティ

特定バージョンのJavaを要求していた地方税電子納税サイト、Javaを廃止してActiveXに切り替え 114

ストーリー by hylom
こんなことに 部門より
あるAnonymous Coward 曰く、

地方税の電子申告を行えるeLTAX 地方税ポータルシステムでは、利用の際に特定のバージョンのJavaランタイムを必要としていたのだが、3月14日よりJava実行環境が不要となったという。Javaランタイムではかねてから脆弱性問題が指摘されていたためこれは素晴らしい……と思いきや、その代わりにActiveXを利用するように変更されたとのこと(eLTAXサイトの設定方法解説ページ高木浩光@自宅の日記)。以前はセキュリティ対策のため、「利用時に指定のJava実行環境をインストールし、利用が完了したら直ちに最新版をインストールするか実行環境を削除せよ」との指示が出ており、それよりはマシという判断だろうか。

なお、必要要件はWindows Vista SP2、Windows 7 SP1、Windows 8.1およびInternet Explorer 9.0もしくは11.0(64bit版は除く)となっている。最近のWindowsマシンはほぼ64ビット版OSがインストールされているため、32ビットでIEを動作させるよう設定を変更し、拡張保護機能も無効化しなければならない。ちなみにMicrosoftは最新ブラウザのEdgeでActiveXコントロールのサポートを廃止していることからも分かるとおり、ActiveXについては今後のサポートを縮小させる雰囲気である。さらにWindows 8.1のサポートは約7年後(2023年1月10日)までなので、少なくともそこまでにはサイトを刷新しなければならないのだが、どうするのだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年03月15日 12時50分 (#2980909)

    JavaやらActiviXに頼る理由が、ICカードに格納された証明書にアクセスするためだという。
    それでも最新のJREを普通にインストールするだけとか、初期設定のまま数回のクリックでActiviXコントロールをインストールするだけ、というなら利用者にとって手軽なブラウザで、というのは理解できる。

    しかし、実際には最新のJREをアンインストールし、オラクル開発者登録を行って古いJREをインストール。
    初期設定後は古いJREのアンインストールを行う必要があった。
    3/14以降のシステムでもインターネットオプションで初期設定よりもセキュリティを緩い方向に変更させる手間を利用者に求めている。

    こんな手間をかけさせるくらいなら、Windows用アプリケーションで専用クライアントを配布した方がマシではないのか。
    もっとも、こんなシステムを作る業者に「Windowsアプリで専用クライアント作って!」と発注したらIEコンポーネントのeLTAX専用ブラウザを作ってきそうだが。

    • by Anonymous Coward on 2016年03月15日 14時02分 (#2980989)

      大抵、省庁のセキュリティポリシーを規定する文書に、アプリケーションのインストールを行わせないことって書いてある。
      で、これが上位文書になってるから、各部門の開発担当者レベルではこれに従う以外の選択肢がない。

      その迂回策で、ActiveXやJREならアプリケーションじゃないもん(笑)となる。

      親コメント
      • by Anonymous Coward on 2016年03月15日 14時19分 (#2981005)

        正解。

        「こんな仕様で請けてきちゃったんすか!?」と凍りつくマネージャ。
        「本当にこれで行くんですか・・・・・」と怒りに震えるエンジニア達。
        「正気じゃねぇ(w」と一笑に付す他チームの奴ら。
        「俺、絶対にメンテナやらないっすからね!」と若手。
        社内ML大炎上。

        官のお仕事で酷いのを掴むとそんな感じ。

        親コメント
    • by Anonymous Coward on 2016年03月15日 12時57分 (#2980914)

      マカーを無視したほうが速そうだな

      親コメント
    • by Anonymous Coward

      >もっとも、こんなシステムを作る業者に「Windowsアプリで専用クライアント作って!」と発注したらIEコンポーネントのeLTAX専用ブラウザを作ってきそうだが。

      それでも、セキュリティゾーンがイントラネットで動いてくれる分、インターネットゾーンのセキュリティを解除させないと動かない現状よりまだましと言うねw

      #開発がうちの会社関わってませんように(下請け零細企業社員)

    • by Anonymous Coward
      Adobe Air.....(ボソッ

      全天球写真/動画のRICOH THETAってちょっと未来だな〜〜と思ってたら、
      PC用専用ソフトはAIR製だった罠。
      しょっちゅう使うわけでもないので、ほぼ起動ごとにAIRアップデートしてる。
  • by Anonymous Coward on 2016年03月15日 13時02分 (#2980920)

    >Windows 8.1のサポートは約7年後(2023年1月10日)までなので、
    >少なくともそこまでにはサイトを刷新しなければならないのだが、どうするのだろうか。

    Windows10でIE11を使えばいいのでは?

  • by headless (41064) on 2016年03月16日 0時21分 (#2981411)

    最近のWindowsマシンはほぼ64ビット版OSがインストールされているため、32ビットでIEを動作させるよう設定を変更し、拡張保護機能も無効化しなければならない。

    IE11の拡張保護モードはデフォルトで無効になっているはず。64ビット版のWindows 7/8.1でのIEのメインプロセスは64ビットプロセスだが、デフォルト設定の状態ではタブのプロセスが32ビットプロセスになっているため、特に設定を変更する必要はなさそう。一方、32ビット版のiexplore.exeを直接起動しても、メインプロセスは64ビットプロセスになる。Windows 10でもデフォルト設定は同じになっているが、ビルド10240ではWindows 7/8.1と同じ動作、ビルド10586.164は拡張保護機能の設定にかかわらずすべて64ビットプロセスになる模様。

    「IE 32ビット」でWeb検索すると64ビット版のWindowsでIEの32ビットを使う方法みたいな記事がヒットするのは、拡張保護モードを有効にしている人が多いのか、デフォルトが変更されたのか、どちらだろう。

  • by Anonymous Coward on 2016年03月15日 12時50分 (#2980908)

    JavaがダメならActiveXを食べればいいじゃない。

  • もはやActiveX以下の扱い (スコア:0, フレームのもと)

    by Anonymous Coward on 2016年03月15日 12時54分 (#2980912)

    Java厨の必死アピールも虚しく、まさかの「ActiveXの方がまだマシ」という扱いにまで転落
    名実共にJavaはオワコン

    • Re: (スコア:0, 荒らし)

      by Anonymous Coward

      Jabaは危険なので即刻アンインストールして使用するべきではないのは業界では有名だと思いますが、

      • by Anonymous Coward

        もしJavaが全部危険だとすると、(VMはOracle製じゃないけど)Javaでアプリを書くのが基本のAndroidは使っちゃダメだし、
        Google は情弱企業ということになりますな。
        (Android 以外の例として Google App Engine https://cloud.google.com/appengine/docs/java/release-notes [google.com] )

        Java applet は使用するべきではないというのなら同意しますが、
        Java applet と Java と Jaba の区別がつかないのはアカンでしょ。

      • by Anonymous Coward

        JABA [jaba.or.jp]を即刻アンインストールして使用しない?
        「一生野球しない」宣言ですか?
        そんなのが有名ってどこの業界でしょうか?

  • 代わりにActiveXコンポーネントを新規開発するって…意味がわからんにもほどがある。

    • by Anonymous Coward

      実は、旧バージョンのセキュリティーホールを突いて、本来出来ないはずのICカードへのアクセスをするシステムだったから。
      …ぐらいのハッカーぢからだったらまだしも安心だったかも知れない。

    • by Anonymous Coward
      いまさら ActiveX で物作るのは考えものだけど、比較対象が Javaアプレット版の更新だったら、セキュリティ的にも今後のメンテナンス考えても Active X 新規開発のほうが数倍マシってことでしょう。
      まぁ、良くはないけど、現実的な解決策じゃないかなぁ。
      • > 比較対象が Javaアプレット版の更新だったら、セキュリティ的にも今後のメンテナンス考えても Active X 新規開発のほうが数倍マシってことでしょう。

        Active X も Edge の件で分かるように、Microsoft 的にはリタイヤさせる方針なんだし、
        http://takagi-hiromitsu.jp/diary/20070710.html [takagi-hiromitsu.jp]
        にあるような、JREを利用した組込みJavaアプリケーションというのがベストなんじゃないかしら。
        これならOS Xみたいな他のOSに対応するのも比較的楽だし。
        (証明書アクセス部分だけは作りこみになるのかな?)

        Active XだとWindowsのみだし、またそのうち作り直しだよね。

        親コメント
        • by Anonymous Coward

          いや、後方互換用にはIE使ってくれ新機能使いたかったらEdge使ってくれって話で
          Microsoft的はIEもActiveXもリタイヤさせる気なんてないよ。

      • by Anonymous Coward

        UIなしのActiveXコンポーネントは、VBならもちろんのこと、VCでも驚くほど簡単に書けるようになってます
        そしてaxの次は、Chrome用のプラグインを作れば良いでしょう
        NPAPIサポートはもういいでしょうということで、デスクトップ向けはこれで完了かな?

      • by Anonymous Coward

        >セキュリティ的にも今後のメンテナンス考えても Active X 新規開発のほうが数倍マシってことでしょう。
        セキュリティ的にもメンテナンス的にもダメでしょう。

        ActiveXが動くのは実質的にIEだけですが、microsoft自体がIEを終了しようとしています。
        後継のEdgeではActivexは非サポート。

        ブラウザもプラグインも既に終了、サポートも終了が見えているのを使うのはダメダメでしょう。
        まだjavaバージョンチェックだけ外す方が現実的だったんじゃ?

        もちろん、activeXやアプレットに依存しない方がいいのは言うまでもありません。

        • by Anonymous Coward

          > まだjavaバージョンチェックだけ外す方が現実的だったんじゃ?
          バージョン違いによる動作確認の予算が出ていないって辺りに0.5票。

        • by Anonymous Coward
          セキュリティ的になんだから クライアントにJRE 入れさせるより、ActiveX のほうが数倍マシなのは否定できんでしょ。

          ちなみに Edge はIEの「後継」ではなく共存ね。
          一度も後継だなんて言われてないし、IEを終わらせようとしてるなんて言ってないので。
          もちろん外野からは、期待を込めて言われてるけど。
  • by Anonymous Coward on 2016年03月15日 13時15分 (#2980937)

    韓国ではいまだにActiveXを使ってるって笑ってたけど、まさかの展開だな。しかもあっちはActiveX止めるって言うのに。

  • by Anonymous Coward on 2016年03月15日 13時24分 (#2980945)

    ではここスラドにいるwindows技術者の方々は「ブラウザからICカードにアクセスできるような仕組みを作って」という依頼をどう解決する?

    • by Anonymous Coward on 2016年03月15日 16時24分 (#2981115)

      論点がずれてるな。問題点は、セキュリティ啓蒙の第一人者のblog「高木浩光@自宅の日記」の2005年の記事で、
      「罪深さ:凶悪」、「必然性:皆無」で、「やってはいけないセキュリティ設定指示Top15」の堂々1に輝いた、

      >「署名済みActiveXコントロールのダウンロード」を「有効」に設定しろ

      を、「やれ」と指示している点。これは、「ウェブサイトに仕込まれたウィルスを全部自動で実行せよ」という設定に他ならない。

      ActiveXを正しくインストールさせて使わせる事自体にはただちに問題はない。
      将来性が無いとか、正しく理解させるのが難しくて「ActiveXっていいものなんだ! 次から見かけたら何でもとりあえずインストールしよっと!」とかいう
      勘違いに繋がりかねないとか、今更感、間接的な問題を含めて最適解かどうかは怪しいけど。

      あるいは、技術的な話に終始していいなら、Javaにちゃんと対応するのでもOK。
      時の最新版以外への対応は切っても良いだろうから、最新版での動作確認を続けていく予算だけは計上する。

      親コメント
    • by i_i (22332) on 2016年03月16日 0時08分 (#2981406) 日記

      TLSのクライアント証明書認証は使えないの?
      昔USBドングルを使ったとき、製造元のアプリで認証を済ませた後は証明書ストアにある秘密鍵付き証明書と同様に扱えたんだけど。

      親コメント
    • by Anonymous Coward

      ここはSCSKさんを呼んで、Curlについて説明をしてもらうってのは

    • by Anonymous Coward

      証明書の確認って要するにハッシュ計算でしょ。

      emscripten

    • by Anonymous Coward

      Flashでできますよ。
      Edyとかできてるし。

      • by Anonymous Coward
        • by Anonymous Coward

          いやそいつもブラウザi/fがflash/airだ。
          前はアプレットだったと思う。

      • by Anonymous Coward

        Flashも消えるのは時間の問題だから代替案になってないな。

        • by Anonymous Coward

          Flashだけは時間の問題とまでは言えない。
          なにせChromeとWindows8以降のIEには標準で組み込まれ、速やかなアップデートが出来るようになってしまったから。
          プラグイン廃止の流れも組み込みFlashは例外になってる。

          別途インストールが必要なJREやActive XよりもWindows8以降に標準で含まれるFlashを使った方がマシだな。

    • by Anonymous Coward

      こういう感じで行けるんじゃなかろうか

      1.ICカードリーダーを起動して、適当なポートで接続を待つ
      2.websocketでローカルホストの適当なポートにつなぐ
      3.認証に必要な情報をwebscoket経由で送る

      ぐぐったところ、webscoketはローカルホスト経由でもつなぐことができるので、しばらくの間は大丈夫だと思われる
      ただ、この方法だとセキュリティ的な意味で危ないが…
      winscoksにフックかければICカードの情報とか取れてしまうし

    • by Anonymous Coward

      逆だ、ICカード内のプロセッサで動かしたブラウザから納税サイトにアクセスする方法を考えるべきだ
      #そもそも秘匿したい情報だからICカード内に格納してあるのに、なぜそれをネット経由でどこかに送らなければならない?

    • by Anonymous Coward

      会社側の政治的な駆け引きに載せられた省庁が
      クソな技術を採用してしまってることが問題であって
      技術的な複雑さは相当程度に低いよ

      #話がわからないなら見栄はって質問しなくてもいいですよ

    • by Anonymous Coward

      ChromeアプリとFirefox拡張で良いのに。

    • by Anonymous Coward

      技術者視点では「前提条件がgdgdなクソ依頼なんて受けねえ」で一致するんじゃないですかね
      営業としてはまた別の解があるんでしょうけど

    • by Anonymous Coward

      a.このXXXX.exeのリンクをクリックして出てきた「実行」ボタンを押してください
       そこからプログラムが実行されますので、接続したICカードの情報が読み取れます

      マジで、イントラネット専用ならそうしますよ?

      b.事前セットアップでカードリーダ用のドライバをインストールしてください。
       (WEBサーバとクライアントプログラムと通信して情報を読み取る)
       普段の動作はブラウザで行います。

      どうしてもJavaアプレットもActiveXもFlashなど、Sandbox系をセキュリティを緩和した状態での使用はだめだけど
      クライアント環境にアクセスさせるならこっちですね。現実的じゃないけど。

  • by Anonymous Coward on 2016年03月15日 14時02分 (#2980990)

    毎年給与支払報告の作業がめんどくさくて、マイナンバー導入ってことでeLTAXの使用を(ぼんやりと)考えていた。
    いや、個人番号記載の郵便物なんで簡易書留とかにする必要があるかもないかも?とか考えると、もしそうした場合の郵便料金も馬鹿にならないし。

    で、まさに「これは素晴らしい……と思いきや」という状況。
    まさかそんな方向に向かっていたとわ。

  • by Anonymous Coward on 2016年03月15日 14時28分 (#2981013)

    利用届出(新規)のみだったので、利用届出提出したらActiveX削除&IE設定初期化する、
    というのがとりあえずの対策かしら。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...