ohsexybaby

Googleが発表している、世界のスマートフォン ユーザーの利用動向調査によると、
日本のスマートフォンユーザーの45%が、スマートフォンで商品を購入したことがあるとか。

もちろん、購入ページや会員登録ページなど、個人情報を入力／表示する通信にはSSL通信が必須。
通信の仕組みは↓な風に行われる。

(1)Android端末は、Webサーバにアクセス(https://～)し、暗号化の仕様を伝える。
(2)Webサーバは、暗号化仕様をAndroid端末へ返す。
(3)Webサーバは、SSLサーバ証明書をAndroid端末へ送る。
(4)Android端末は、端末に登録されているルート証明書を用いて、
SSLサーバ証明書の署名検証を行い、Webサーバの公開鍵を取得する。
(5)Android端末は、公開鍵を用いて暗号化した共通鍵をWebサーバに送る。
(6)Webサーバは、共通鍵を複合し、以降のやりとりは共通鍵を用いて行う。

ポイントは(4)のところで、
Android端末に登録されている「ルート証明書」をもとに、
Webサーバの「SSLサーバ証明書」を署名検証する際に、証明書エラーとなるケースがありえます。

“この証明書は信頼できる認証機関のものではありません。”
と、端末の画面に出るらしい。

そんなメッセージが出るWebサイトでは、
いっさい個人情報を入力したくなくなるし、ましてや物を買うなどできないと思うので、
SSLサーバ証明書は、Android端末の各OSに対応したものをインストールしましょう。

techdoll.jpさんの記事から。

モバイルアプリ解析ツールのLocalyticsが行った調査(日本限定ではない)によると、

Twitter連携のアプリがFacebook連携アプリの3倍の共有量があったとのこと。

共有量とは、アプリから”Tweet”、”いいね！”された後に、どれだか拡散されたかだと思う
(たぶん。)

ただ、ソーシャルネットワーク連携としてはFacebookの方が人気が高く、

Facebook,Twitterいずれかと連携→20%

Facebookのみ連携→10%

Twitterのみ連携→1%

両方とも連携→9%

という結果が。

Facebook,TwitterともにAPIが公開されているので、アプリにSNS連携機能を埋め込む場合は、

「いいね！」ボタンだけじゃなくて、「Tweet」ボタンも忘れずに付けましょう。

iPhoneだーauだーって盛り上がりを見せておりますが、
まだほったらかしにできないガラケーについて。

auの2011年秋冬モデルにてEZブラウザの仕様変更が告知されてまして、
変更点は以下4点。

(1)EZブラウザ、PCサイトビューアーのIPアドレス帯域の統一化
(2)HDML 非サポート
(3)HTTP リクエストヘッダフィールドの一部削除
(4)EZ サーバの機能縮小

(1)が影響が大きそうで、ガラケーとPCサイトビューアのIP帯域が同じになるらしい。しかも、現行のPCサイトビューアでは、JavascriptでUA、EZ番号の変更が可能。

かんたんログイン機能などでユーザー認証にEZ番号を用いている場合、
PCサイトビューア且つ偽造したEZ番号でなりすましが可能になり、
ユーザー認証が通ってしまう可能性が。

ガラケーだけならそもそもUAやEZ番号の変更ができないし、FireFoxのアドオンFireMobileSimulatorなどで偽造しても、アクセス元のIPアドレスで制限をかけておけば問題ありません。
(ちなみに、スマートフォンに関しては、ガラケーとはIP帯域が異なる)

つまりその、2011年秋冬モデルに搭載されている「PCサイトビューア」が、
これまで同様に”UA”,”EZ番号”の変更が可能な仕様であれば、
セキュリティ上、改修しなくちゃいけないサイトがいっぱいありそう。

ってなんだかんだ言ってたら、auさんが出している資料が更新されており、
「2011年秋冬モデルでは、PCサイトビューアにおいて、UAの変更、EZ番号の追加はできません。」だそうです。

とはいえ、以下サイトに載っているように、かんたんログイン機能をやめて、
cookieでセッション管理した方が良いというご指摘もあるので、スマホ全盛とはいえ、今後ガラケーに関する問題・課題もまだまだ出てきそうな感じです。

http://d.hatena.ne.jp/ockeghem/20110615/p1