前々回、前回の続きをご報告したいと思う。
かなりあれから時間がかかったが、結論としてはシンプルで楽天銀行および楽天CERT・楽天グループとしてはUDIDの送信は停止しないし、また何故送信しているか、どのように利用・管理しているか は「当行不正取引防止システム運営の機密事項」のため一切開示しないとの結論であった。
以下、その詳細。
まだ曖昧な部分もあるので書くかどうか迷いはしたのだが、一定の結果には至ったので僕自身が持っている疑問の提示と皆さんへの問いかけという意味を込めて書き連ねてみる。
iPhoneアプリに「楽天銀行アプリ」というものがある。名前通り楽天銀行へログインし自身の取引結果や振り込みなどを行えるアプリだ。
僕自身も楽天銀行には口座を持っているので試してみたのだけど、「あれ?」と思わざるを得ない仕様があった。
簡単に説明すると次のような手順でこのアプリは使用する。
マカオで泊まっているホテルの部屋にあり、始めて見たので面白かったのでアップ。
AVAYAは企業向け内線電話端末で有名な会社ですが、これはいわゆるネット端末ですね。
ブラウジング端末になっていて、下や左右にたくさんあるボタンがリンクと結び付けられています。
100Mb有線イーサネット回線に接続されていて、こちらから給電しています。
なのでネット回線を抜き差しすると再起動します。
OSはLinuxみたいですね。
ネット接続して・・・
どうやらブラウジング情報をダウンロードしています。
最終的にこの画面が起動します。
ゲスト名も表示され、ホテル内施設への発信やレストランなどのホテル情報はもちろん、天気予報やバスルートや地域イベントなどのローカル情報も表示できます。
まだ正直物足りないところもありますがブラウザベースなので幾らでもアップデート可能なのがミソかと。
Chumbyなんかも実は同じノリだと思いますが、手元で気楽に使える「使い方の決まった」ブラウジング機器ってのは便利かもですね。
翻って、いろんな家電機器がそれぞれのブラウジング機能を持つというのも意外に便利な発見があるかも知れず、いいかも知れないなあと思った次第。
ぐお、マジか。。
ノキア、日本市場での事業展開を見直し
さもありなん、といったところでしょうか。あれだけ海外でシェア持っていれば微々たる日本の売り上げのための投資なんて、無駄なコスト以外の何者でもなかったでしょうね。
経営としては正しいと思いますが、ユーザーとしては残念。。
SIMアンロックで、国内キャリアでの利用は保証しなくていいから、日本語対応端末を出して欲しかったです。
せめてE71はちゃんと出して。買うから。
先ほどの記事では書かなかったけど、キャリアだって”ガラパゴス”化からはデメリットは受けると思うんですよね。
海外ではNOKIAやサムソンなどが豪勢をを極める一方で、三洋や三菱、ソニーエリクソン(は一部キャリアからだけど)にノキアなど、これだけメーカーが携帯事業から撤退する国がどれだけあるか。
「携帯が売れない」とか言うけど、当たり前。以前よりより少ない種類の端末、目新しいことが起こらない端末と閉塞感。それをユーザーが敏感に感じ取っているだけ。
官製不況じゃないですよ。ビジネス構造が引き起こしている「キャリア発信型不況」ですよ。
守ることしかできないキャリアでは決して抜け出せない、綿で首を絞められて窒息していくような、そんなスパイラルに陥っているんだと思います。
日本のケータイは本当にガラパゴス化なのか!?
こういう理解が低い記事がCNETみたいなメジャーサイトに堂々と載るのはどうかなぁ。
せっかくの議論の論点がずれてへんな話題にしかならなくなると残念。
筆者は何故ガラパゴスと呼ばれるのか、その理由を知らないんだろう。若しくは自分が言いたいことに注力するあまり興味がないのに言葉だけガラパゴスと言いたかっただけなのでは。
要するに海外含めたサービス間の互換性がないマーケットを称してガラパゴスと呼んでいるんですよ。
マジでか。
ノキアが日本で携帯電話事業参入、3月からサービス開始
意図がよく見えないんだけど、ようするにハードを売りたいってことなのかな?
日本のキャリア相手に散々いじめられて調整するのが面倒になったのはよく分かるんだけど、そこから独自参入に至ったってのは飛躍しすぎ?
リスクもそれなりにあるとは思うんだけど、MVNOの参入コストはそれほどリスキーではないという読みでしょうかね。
但し、ただ単に海外のキャリアと同じメニューや端末を持ち込んでもやっぱり失敗するだけと思うので、いい意味で日本の独自機能も取り込んだ端末を開発して海外にもフィードバックしたり、日本のメーカーでは出来なかった動きを期待したいところです。
# どうせ販促がメインなのだったら、HTCとかも巻き込んで海外スマートフォン謹製キャリアとして確立するというのはどうか。互いの利害や端末志向もも一致していると思うのでいいと思うんだけどなぁ。
高木さんの「素朴な」疑問に対して、果たして携帯Webアプリでセッションは安全かの議論が続いている。
携帯電話向けWebアプリの脆弱性事情はどうなっているのか
珍しく間違った批判をしている高木先生
携帯電話からセッションIDの漏洩を防ぐ
Cookieが使えない機種も多いのでGETパラメータにセッションIDを埋め込む手法への疑問と、端末IDの信頼性の二つが論点かと思うのだけど、ここでは後者をちょっと考えたい。
いわゆる端末IDについてはこちらが詳しいのだけど、議論を整理すると、端末ID(もしくはユーザID)を安全足らしめるには次の要素が必要と考えられている。
1. SRC IPを制限して、各キャリアの携帯網からのアクセスのみ許可する。
2. 携帯端末の端末IDやUser-Agent環境変数はPCと違って変更不能
ところがこの1, 2は突破可能だ。
うちのようなサイトを巡回している人なら自明の理だと思うんだけど、Windows Mobileなどを搭載したスマートフォンなら、少なくともUser-AgentはNetFrontなどのブラウザ機能で簡単に変更できてしまう。
そしてまた、設定をごにょごにょいじることで、携帯網にもアクセス可能だ。例えば僕のHTC Universalという海外で発売されたSIMフリーのスマートフォンでSoftbankのSIMを挿してYahoo!ケータイが使えます。この場合、サーバからは一般の携帯からのアクセスとの違いはかなり気を付けていないと分からないはずだ。
例を示そう。
まず以下は普通にSoftbank携帯からWebサーバにアクセスして、CGIで環境変数を見たところ。
マスクしてますが、User-Agentとx-jphone-uidが取得されたのが分かる。User-AgentのSN…ってのが端末シリアル番号ですね。
次にスマートフォンからUser-Agentを偽装してリクエストしてみる。
User-Agentの端末シリアル番号の下四桁が0000に偽装されているのが分かると思う。
なおx-jphone-uidはNetFrontでは任意のヘッダーは追加できないので、そのままです。つまりx-jphone-uidは基地局やゲートウェイが追加する変数ということになる。
ここで、更に端末IDを安全足らしめる条件を追加してみよう。
3. 基地局またはゲートウェイが端末を認識してコントロールするIDを挿入すること
今回環境が揃わなかったのでテストできませんでしたが、Docomoで言えばuid, Softbankならx-jphone-uid、auならX-Up-Subnoということになると思うのだけど、仮にこれらが任意に端末から追加されていたら何も基地局やゲートウェイが書き換えたり削除しない仕様だとすると、端末IDは偽装放題ということになります。
つまりいわゆるユーザIDが最後の砦となっていると思うのだけど、果たして、このへんの実態はどうなんだろうか。
多分、簡単なWMアプリを作って確認すればすぐ分かると思うけど。
(あ、auだけは安全かも。独自仕様過ぎて携帯網につながるスマートフォンがまだないので。でも、近々出すって言ってたっけな)
また、Webアプリの仕様の問題もある。
実際User-Agentしか見ていなくて、スマートフォンから簡単にログイン可能になっているサービスを確認しています。
これを脆弱性と呼ぶかどうか。
IPAとかに連絡してもいいかも知れないけど、僕自身は以前に通報したらそんなの脆弱性とは呼ばないとか叩かれたりもしたし、実は普段の携帯とスマートフォンで便利に使い分けられてたりするので、今回はパスしますが。
# 過去にはこの仕様でもOKだったんだけど、時代が変わって事情が変わってきたと言うところだろうか。
バンコクはファランポーン駅で見つけた街角WEB端末です。
要は公衆電話なんですが、モニターが付いていて、有料のWEB端末としても使えます。
タイでは最大手の電話通信会社、Trueの端末です。
普通のWebアクセスの他に、SMS送信、Gameや音楽ダウンロードなどのメニューもありました。
面白いのは、各種WEBメールのメニューもあることです。
Yahoo、Hotmail、などが使えるようです。
旅行者にはちょっと便利そう。一回10バーツ(約33円)は高いのか安いのか。
こういう端末が街中のそこかしこに出来てくると何だかSFちっくで面白いですね。
日本だとこういう端末をNTTが設置することは考えにくいです。
やっぱりこういうところは他のアジア諸国の方が先進的でチャレンジングで楽しい気分になれます。
何と。そうきたか。
ドコモ通話、2年以内に130か国で使用可能に
これよく考えたら凄いです。
FOMAというばりばりの3Gを2GであるGSMとのデュアル対応にわざわざこれからするというんですから。
既にvodafoneなんかは端末の国際調達の一環でW-CDMA+GSMな端末(3G機の場合)なので元々対応している訳ですが、これからわざわざ対応する、というのはこの辺の弱みが無視できないと理解したからでしょうか。
若しくは国際調達へ移り変わる、ということなのかも。
もっともSIMロックは有効でしょうから、端末は使えてもバカ高いローミング料金はそのままっぽいですが。
安い海外SIMを利用するためのSIMロック解除が今後はDocomoでも流行ることになるか・・?
# Docomoにはその前に国内の基地局の国際標準化の方を先に進めて欲しいものだとも思うけど(ここが出来ないと国際調達だったとしてもあまり意味無いのでは?)、これはこれでvodafone以外の選択肢が広がって喜ばしくはありますけどね。
ボーダフォン、ノキア製「E60」「E61」ベースのビジネス向け端末
そもそもスマートフォン系を「ビジネス向け」としてしか定義していない時点で何も期待できない訳ですが。
どうしてN系に目を付けられないんだろう(対応バンドの問題はあるけども)。
これはN73です
何と言ってもFlickr端末ですよ、奥さん!
せめてSkypeでも標準で載ってくれば面白いんですけどね(:P
Powered by WordPress.
Template based on praegnanz.de.
![[Atom]](http://www.rocaz.net/pic/feed-icon-blue.png){kind=icon}
![[RDF Site Summary 2.0]](http://www.rocaz.net/pic/feed-icon-red.png){kind=icon}
Recent Comments