最近長年使える本名のメールアドレスが欲しいなぁと突然思い立ち、週末に本名のドメインを取得してGmailの独自ドメイン機能を使ってメール環境を構築しました。その覚え書き兼ご紹介です。
Gmailならフルネームのアドレスぐらいはみんな取得していると思うんですが、最近は様々なccTLD(国別ドメイン)が解放されており、.comとかに拘らなければ「名前@名字.in」みたいのも簡単に取れますよ。
因みにコストも無料サービスを駆使すれば年2000円程度。格安です。これなら年に二日ほど昼飯抜けば取れますよね!
ここで行ったのは
– 独自ドメインの登録
– Google AppsでGmailを独自ドメインにマッピング
– DNS設定
これだけです。これだけで独自ドメインでのメールが完了です。
今日公開されたOpera9.50の正式版をインストールしました。
爆速でびびりました。。
僕は普段タブを開けっぱなしで使い再起動時にも回復するようにしています。
数は大体70-80タブぐらい(^ ^;だって閉じるのもよく使うページをまた開くのも面倒なんだもん。。
なので9.27の頃はOperaを起動すると1-3分ぐらいは全ページを読み込むのにかかっていました。
ところが今日何となくアップグレードして起動してみると、ほんの10-20秒ぐらいで読み終わった気がする。。
まさかと思って1ページずつ再読込してみると、早いのなんの。
前だったら5秒ぐらいはレンダリングにかかっていた(多分タブを開け過ぎだったせいもあるかと)ページが、ほんの1-2秒で表示を終わっていました。
ベータ版は会社で使っていたんですが、そこまでのパフォーマンスは感じなかったんですが、いつの間にやら恐ろしいほどのチューニングを施されていた模様。
いや、びっくり。
Operarな人はとにかく早く移行して、びっくりしてみてくださいな。
# Opera Linkも試してみようと思ったけど、サーバーでエラー頻発であまり使えないですね。アクセスが集中してるだろうなぁ。
高木さんの「素朴な」疑問に対して、果たして携帯Webアプリでセッションは安全かの議論が続いている。
携帯電話向けWebアプリの脆弱性事情はどうなっているのか
珍しく間違った批判をしている高木先生
携帯電話からセッションIDの漏洩を防ぐ
Cookieが使えない機種も多いのでGETパラメータにセッションIDを埋め込む手法への疑問と、端末IDの信頼性の二つが論点かと思うのだけど、ここでは後者をちょっと考えたい。
いわゆる端末IDについてはこちらが詳しいのだけど、議論を整理すると、端末ID(もしくはユーザID)を安全足らしめるには次の要素が必要と考えられている。
1. SRC IPを制限して、各キャリアの携帯網からのアクセスのみ許可する。
2. 携帯端末の端末IDやUser-Agent環境変数はPCと違って変更不能
ところがこの1, 2は突破可能だ。
うちのようなサイトを巡回している人なら自明の理だと思うんだけど、Windows Mobileなどを搭載したスマートフォンなら、少なくともUser-AgentはNetFrontなどのブラウザ機能で簡単に変更できてしまう。
そしてまた、設定をごにょごにょいじることで、携帯網にもアクセス可能だ。例えば僕のHTC Universalという海外で発売されたSIMフリーのスマートフォンでSoftbankのSIMを挿してYahoo!ケータイが使えます。この場合、サーバからは一般の携帯からのアクセスとの違いはかなり気を付けていないと分からないはずだ。
例を示そう。
まず以下は普通にSoftbank携帯からWebサーバにアクセスして、CGIで環境変数を見たところ。
マスクしてますが、User-Agentとx-jphone-uidが取得されたのが分かる。User-AgentのSN…ってのが端末シリアル番号ですね。
次にスマートフォンからUser-Agentを偽装してリクエストしてみる。
User-Agentの端末シリアル番号の下四桁が0000に偽装されているのが分かると思う。
なおx-jphone-uidはNetFrontでは任意のヘッダーは追加できないので、そのままです。つまりx-jphone-uidは基地局やゲートウェイが追加する変数ということになる。
ここで、更に端末IDを安全足らしめる条件を追加してみよう。
3. 基地局またはゲートウェイが端末を認識してコントロールするIDを挿入すること
今回環境が揃わなかったのでテストできませんでしたが、Docomoで言えばuid, Softbankならx-jphone-uid、auならX-Up-Subnoということになると思うのだけど、仮にこれらが任意に端末から追加されていたら何も基地局やゲートウェイが書き換えたり削除しない仕様だとすると、端末IDは偽装放題ということになります。
つまりいわゆるユーザIDが最後の砦となっていると思うのだけど、果たして、このへんの実態はどうなんだろうか。
多分、簡単なWMアプリを作って確認すればすぐ分かると思うけど。
(あ、auだけは安全かも。独自仕様過ぎて携帯網につながるスマートフォンがまだないので。でも、近々出すって言ってたっけな)
また、Webアプリの仕様の問題もある。
実際User-Agentしか見ていなくて、スマートフォンから簡単にログイン可能になっているサービスを確認しています。
これを脆弱性と呼ぶかどうか。
IPAとかに連絡してもいいかも知れないけど、僕自身は以前に通報したらそんなの脆弱性とは呼ばないとか叩かれたりもしたし、実は普段の携帯とスマートフォンで便利に使い分けられてたりするので、今回はパスしますが。
# 過去にはこの仕様でもOKだったんだけど、時代が変わって事情が変わってきたと言うところだろうか。
今日から始まったYahoo!ケータイを少し触っていたのですが、Yahoo!ケータイから検索してPCサイトを見ると、どうやらjigブラウザWebで最適化してくれることに気付きました。
検索結果のうち「PCサイト」のところのリンクからサイトに飛ぶとjigブラウザWeb用サーバらしいYahooのサーバ経由になり、PCサイトでも携帯向けに最適化してくれます。
いつからこうなっていたのか知らないのですが、これはいいですね。
本来なら月300円ほどかかるものが、Yahoo経由で検索して飛ぶだけでタダで使えてしまいます。
「Yahooサイトならコンテンツが無料になり、ドコモやAUのビジネスモデルを潰す」のが新生SoftBankの戦略だそうですが、SoftBank公式サイトやYahoo(のコンテンツサイト)さえ使わなくとも、既に普通のPCサイトを手軽にしかもタダで携帯からブラウズ可能になっているとは。
いわゆるフルブラウザではないですが、月課金とか無しでニュースサイトを色々見てみたい際には便利に使えそうです。
例えばGoogle Newsはテキスト版でもかなりサイズが大きくて携帯からはブラウズできませんでしたが、次のような手順で見ることができるようになります。
1. Yahoo!ケータイトップから「google news」とか検索してみる。
2. ケータイ検索結果に引き続いて、PC検索結果が表示されるので「Google ニュース 日本語版」を探してクリック
3. 最適化されたGoogleニュース日本語版サイトが表示される
これだけです。
後はブックマークしておくなりすれば即座にブラウズ可能になります。
因みにこの場合のURLは次のようになっています。
http://pctransnnn.mobile.tnz.yahoo.co.jp/fweb/xxx...xxxx/9b?_jig_=http%3A%2F%2Fnews.google.com%2Fnews%3Fned%3Dtjp%26rec%3D0
ここでnnnとxxx…xxxxはランダムに付帯されるようなので、ずっと有効かどうかは不明です。
またパラメータを変更してやれば他のサイトもダイレクトに利用できそうですね。
特に公式なアナウンスされていないかも知れないので、ご利用は自己責任でどうぞ。
どうも昨日か今日当たりでGoogle Calendar APIの実装がUpdateされ混乱しているような気がします。
元々終日の予定の場合何故か開始/終了日時の年に3994年など有り得ない数値を返すバグが登場直後からずっとあったんですが、突然直ってしまいました。
反面、終日一日を示すXML表記は「Developer’s Guide」のCommon Elementsによれば、
<gd:when startTime="2005-09-25"/>
などとするんですが、何故か
<gd:when startTime="2006-09-25" endTime="2006-09-26">
とかなってたり。
これだと二日間にしかならないはずなんだけど・・。完全に仕様違反です。
因みに、やはり終日の予定では指定した日付より一日前の日付で登録されてしまうバグがあるんだけど、これはまだ直っていない。
ちょっとしか見てないけど、アラアラですねぇ。他にもあるかも。
ここしばらくはちょっと要注意だなぁ。早く安定しますように。