Web

sslimage

サイト運営者もセキュリティ対策を。Android端末とHTTP通信とSSL証明書の関係


Googleが発表している、世界のスマートフォン ユーザーの利用動向調査によると、
日本のスマートフォンユーザーの45%が、スマートフォンで商品を購入したことがあるとか。

もちろん、購入ページや会員登録ページなど、個人情報を入力/表示する通信にはSSL通信が必須。
通信の仕組みは↓な風に行われる。

sslimage

(1)Android端末は、Webサーバにアクセス(https://~)し、暗号化の仕様を伝える。
(2)Webサーバは、暗号化仕様をAndroid端末へ返す。
(3)Webサーバは、SSLサーバ証明書をAndroid端末へ送る。
(4)Android端末は、端末に登録されているルート証明書を用いて、
SSLサーバ証明書の署名検証を行い、Webサーバの公開鍵を取得する。
(5)Android端末は、公開鍵を用いて暗号化した共通鍵をWebサーバに送る。
(6)Webサーバは、共通鍵を複合し、以降のやりとりは共通鍵を用いて行う。

ポイントは(4)のところで、
Android端末に登録されている「ルート証明書」をもとに、
Webサーバの「SSLサーバ証明書」を署名検証する際に、証明書エラーとなるケースがありえます。

“この証明書は信頼できる認証機関のものではありません。”
と、端末の画面に出るらしい。

そんなメッセージが出るWebサイトでは、
いっさい個人情報を入力したくなくなるし、ましてや物を買うなどできないと思うので、
SSLサーバ証明書は、Android端末の各OSに対応したものをインストールしましょう。

google analytics

秒単位でアクセス状況が解る!Googleアナリティクスのリアルタイムレポート


無料アクセス解析の大御所・Googleアナリティクスがリアルタイムレポートに対応しました。

実際は、2011/9末から対応が始っていて、フォームから申請していたものの、
気がついたら対応されてましたw

これまでは、一日遅れで前日分のアクセスが反映される仕様だったのが、
ほぼほぼリアルタイムに反映されるようになりました。

トップページのメニューに↓のようなリンク”リアルタイム(ベータ版)”が追加され、
google analytics

・分単位/秒単位ごとのページビュー数
・アクセス元の所在地
・アクセスされているページ
・検索キーワード

などが↓のようにアナリティクス上で解ります。
(2人の方、まことにありがとうございます!)
google analytics

まあ、小生のようなこじんまりしたブログはさておき、
新サービスを公開したり、ブログ更新直後のアクセス状況を知りたい場合などは、
サーバー上でtailコマンドでアクセスログを監視するより、
Googleアナリティクスでレポートを見た方が確実に有効です。

google_ssl

Google検索がSSL化。リファラーが空になって検索キーワードが取れなくなってしまうのか。


表題の件ですが、より安全にGoogle検索が行えるようにするため、SSL暗号化をすることが発表されております。

いろんなサイトで纏められてるけども、

(1)Google アカウントにログインしたユーザーが対象
(2)google.comからの検索が対象
(3)google.co.jpは、今のところ変更時期未定
(4)これまでは、HTTPヘッダのリファラーから検索キーワードが取得できていたが、
SSL化になることで、「Google検索からきた」ことしか解らなくなる。
(5)ただし、ウェブマスターツールで直近30日間の上位1000位までの検索ワードは見れる。

アクセス解析的に大問題なんじゃないのー?と思いましたが、
google.comは米国ユーザー向けであり、日本ユーザー向けのgoogle.co.jpには今のところ対象外。

※google.comの日本語版で検索してみたら、やはりSSLになってた。

google_ssl

Googleさんの公式発表によると、SSL化による影響は10%以下程度らしい。

ログインしてるユーザーってそんな少ないもんなんかな?

ちなみに、ガラケーも同じ対応が入ったのかと思ったけど、google.comモバイル版は非SSLでした。

Localytics

実はスマホアプリとの連携に適しているのは、Twitter>Facebookだった?


techdoll.jpさんの記事から。

モバイルアプリ解析ツールのLocalyticsが行った調査(日本限定ではない)によると、

Twitter連携のアプリがFacebook連携アプリの3倍の共有量があったとのこと。

共有量とは、アプリから”Tweet”、”いいね!”された後に、どれだか拡散されたかだと思う
(たぶん。)

Localytics

ただ、ソーシャルネットワーク連携としてはFacebookの方が人気が高く、

Facebook,Twitterいずれかと連携→20%

Facebookのみ連携→10%

Twitterのみ連携→1%

両方とも連携→9%

という結果が。

Facebook,TwitterともにAPIが公開されているので、アプリにSNS連携機能を埋め込む場合は、

「いいね!」ボタンだけじゃなくて、「Tweet」ボタンも忘れずに付けましょう。

phone

続・セキュリティは大丈夫?Webサイトは要改修?Ezweb新ブラウザ対応


iPhone4Sが発売3日で300万台突破ーとかニュースになっていますが、
まだほったらかしにできないガラケーについて。(その2)


前回の記事
の中で、”EZブラウザ、PCサイトビューアのIPアドレス帯域の統一化”が
影響大きそうと書きましたが、その対応方法に関して。
情報を整理すると、

(1)新Ezブラウザは、2011年秋冬モデルから順次、搭載される。
(2)現時点(2011/10/18)で対象機種は、「F001」「URBANO AFFARE」の2機種。
(3)新EzブラウザのIP帯域は、2011/2に公開済み。
(4)PCサイトビューアでのアクセス時、EZ番号は送出されない。
で、新Ezブラウザか、現行ブラウザかの判定方法は以下の2点。
①User-Agentで判別する。
②IPアドレス帯域で判別する。

①のUA判定については、
以下のように、HTTP リクエストヘッダフィールドのHTTP_USER_AGENTに、
ブラウザバージョン”6.2_7.2.7.1.K.8″を含むかどうかで判別が可能。

現ブラウザ:KDDI-TS3H UP.Browser/6.2_7.2.7.1.K.1.400 (GUI) MMP/2.0
新ブラウザ:KDDI-FJ31 UP.Browser/6.2_7.2.7.1.K.8.400 (GUI) MMP/2.0

で、PCサイトビューアか携帯ブラウザかの判定方法は以下の方法。
HTTP リクエストヘッダフィールドのHTTP_X_UP_SUBNOに、
EZ番号が含まれているかどうか。

そんな感じで対応可能かと思われます。

WordPressの投稿記事に、jQueryでかっこいいイメージスライダー「Coin Slider」を組み込む方法


WordPressの投稿記事に組む込める、良いイメージギャラリーはないだろーか?
というわけで探してみたところ「Coin Slider」のエフェクトが気に入ったので実装。
こんな風にイメージギャラリーがWordPress(3.0.3)に組み込めました。


—以下設定方法—
(1)coin-sliderのサイトから、cssとjsをダウンロード
(2)フォルダごと、/wordpress/wp-content/uploads にアップロード
(3)画像ファイルをアップロード

※ディレクトリ構成はこんなかんじ
/wordpress/wp-content/uploads
└ coin-slider
├ images
│ ├ image_1.jpg (スライダーに入れたい画像1)
│ ├ image_2.jpg (スライダーに入れたい画像2)
│ └ image_3.jpg (スライダーに入れたい画像3)
├ coin-slider.js (coin-sliderのサイトから)
├ coin-slider.min.js (coin-sliderのサイトから)
└ coin-slider-styles.css (coin-sliderのサイトから)

(4)coin-slider-styles.cssに、下記1行を追加
#coin-slider-coin-slider {width:600px;}

—ここからWordPress側の設定—
(5)となりのソフト屋さんからプラグインをダウンロード
(6)(5)を解凍し、/wordpress/wp-content/pluginsに保存
(7)管理画面のプラグインから、’add css js’を有効化
(8)管理画面の投稿から、カスタムフィールドを追加。追加内容は以下の通り。

名前:cssfile 値:/wordpress/wp-content/uploads/coin-slider/coin-slider-styles.css
名前:js
値:$j = jQuery;
$j(document).ready(function() {
$j(‘#coin-slider’).coinslider({
width: 600, //画像幅
height: 400, //画像高
spw: 7, //画像切替時の横四角数
sph: 5, //画像切替時の縦四角数
});
});
名前:jsfile 値:/wordpress/wp-content/uploads/coin-slider/coin-slider.js
名前:jsfile 値:/wordpress/wp-content/uploads/coin-slider/coin-slider.min.js

(9)htmlを書く。
<div id=”coin-slider”>
<!– 画像ファイルの設定 ここから–>
<a href=”#” target=”_blank”><img src=”/wordpress/wp-content/uploads/coin-slider/images/image_1.jpg” alt=”画像1″ /><span><strong>画像1</strong>コメント1</span></a>
<!– ここまで 画像数分以降繰り返し–>
</div>
設定は以上。ナイススライダー!!

images

スマートフォン最適化サイトを開発して思ったこと。


相変わらずバタバタ開発してたけど、気づいた点を覚書き。

■端末選定や端末のクセを押さえる

・iPadやAndroidの古いOSver、タブレット端末は含めるか等、スコープとする端末をまず明確に。
・Androidで、画面サイズを正しく取得できない機種があるので、画面サイズで処理を振り分ける場合は要注意。
・Androidで、凝ったJavascriptのアニメーションが端末によって動かなかったりする。

■他デバイスと差別化をする

・PCサイト、Android/iPhoneアプリなどから横展開をする場合、まったく同じ機能、構成にする必要は無い。
・スマホ最適化サイトを誰が使うのか、利用シーン、どういったサイトにするのかをしっかり整理してから作るべき。
・画像は少なめでシンプルに。PCサイトのような感じで、画像をガツガツ使った
ページデザインにすると、3G回線だとページ読み込みが遅くなってしまい、使い勝手が損なわれる。

■セキュリティはPCサイトと同様に

・ガラケーとは違い、アクセスしてくるIPアドレスは無数にあり、ブラウザでCookieも使えるので、
普通のPCサイトと同じ考えでセキュリティを考慮する必要がある。

■SEO(クローラー)対策

・Googleでは、今のところスマートフォンやタブレット端末用のインデックス(検索エンジン)は
提供されていない。(ただ、UAをiPhoneに偽造したGooglebot-Mobileは巡回しているみたい。)

■プログラムソースに関して

・Android/iPhoneで同一ソースが可能。
ただし、Android/iPhonいずれかだけ手を入れる可能性があったり、今後どんな端末が出てくるか解らないので、Android/iPhoneで分離しておいた方が良い。
また何か出てきたら追記しようと思います。

phone

セキュリティは大丈夫?Webサイトは要改修?Ezweb新ブラウザ対応


iPhoneだーauだーって盛り上がりを見せておりますが、
まだほったらかしにできないガラケーについて。

auの2011年秋冬モデルにてEZブラウザの仕様変更が告知されてまして、
変更点は以下4点。

(1)EZブラウザ、PCサイトビューアーのIPアドレス帯域の統一化
(2)HDML 非サポート
(3)HTTP リクエストヘッダフィールドの一部削除
(4)EZ サーバの機能縮小

(1)が影響が大きそうで、ガラケーとPCサイトビューアのIP帯域が同じになるらしい。しかも、現行のPCサイトビューアでは、JavascriptでUA、EZ番号の変更が可能。

かんたんログイン機能などでユーザー認証にEZ番号を用いている場合、
PCサイトビューア且つ偽造したEZ番号でなりすましが可能になり、
ユーザー認証が通ってしまう可能性が。

ガラケーだけならそもそもUAやEZ番号の変更ができないし、FireFoxのアドオンFireMobileSimulatorなどで偽造しても、アクセス元のIPアドレスで制限をかけておけば問題ありません。
(ちなみに、スマートフォンに関しては、ガラケーとはIP帯域が異なる)

つまりその、2011年秋冬モデルに搭載されている「PCサイトビューア」が、
これまで同様に”UA”,”EZ番号”の変更が可能な仕様であれば、
セキュリティ上、改修しなくちゃいけないサイトがいっぱいありそう。

ってなんだかんだ言ってたら、auさんが出している資料が更新されており、
「2011年秋冬モデルでは、PCサイトビューアにおいて、UAの変更、EZ番号の追加はできません。」だそうです。

とはいえ、以下サイトに載っているように、かんたんログイン機能をやめて、
cookieでセッション管理した方が良いというご指摘もあるので、スマホ全盛とはいえ、今後ガラケーに関する問題・課題もまだまだ出てきそうな感じです。

http://d.hatena.ne.jp/ockeghem/20110615/p1

kurihara

好きなチームに絞ったニュースが読める!!プロ野球ファン最高のAndroidアプリ


「DAFLOID」という無料ニュースリーダーのAndroidアプリが、
機能/コンテンツが充実していて、デザインもカッコ良くて素晴らしい!!
ってことでご紹介。(iPhone、iPad、iPod touchにも対応)

「DAFLOID」の特徴は以下の通り。

・好きなチームを登録して自分だけの誌面が作れる
・使い易く、且つ解りやすいUI
・記事はスポーツ紙の焼き直しではなく、本アプリ専用に書き下ろされている
・試合前の展望、試合後のレポートが読める
・Twitterと連携して、投稿および登録チームのハッシュタグが付いた投稿の閲覧が可能

設定方法はすごく簡単。

(1)設定画面の”地域設定”で地域を設定 ※選択地域にあるチームが一括で登録される

settings

(2)”コンテンツ設定”で贔屓のチームを登録 ※後々入れ替えや、並べ替えも可能
→もちろん、カープとライオンズを選択

contents

(3)”Twitterアカウント”を登録

設定はこれだけ。
これでトップページが新聞の一面のように!!

kurihara

フッターの「COVERNEWS」タブで、本日から一週間前までの過去記事が読めて、
「DASHBOARD」タブで、登録チームの最新記事とTwitterの投稿が読めます。

dashboard

無料アプリの機能としては充分だけど、個人的には、アプリ起動時に
本日分の記事を読み込んでおいて、通信無しでペラペラっと見れると、
地下鉄でガッツリ読めてより良いんじゃないかなーと思いました。

network

月額使用料が上がる!?スマートフォンの通信制限による企業と個人への影響


KDDIが2011年10月1日からauスマートフォンの通信速度制御を開始する記事が。

NTTドコモ、ソフトバンクモバイルでは、既にスマートフォンの通信制限を導入しているため、大手3キャリアで行うことになりました。

で、具体的にどんだけ通信すると、どんな規制がかかるか?

比較記事に載っている通り各キャリア様々で、簡単に纏めてしまうと、

・4分間の楽曲を90曲ダウンロードする程度の通信量が該当。
・対象回線は3G。Wi-Fiは対象外。
・規制がかかっても、通信が一切できなくなる訳ではない。

まー、使い方によるけども、
この規制に関しては、個人よりも企業に影響が大きいんじゃないかなーと思います。

Webサイトやアプリを運営する企業やテストを専門に行うデバック企業で、
「繋がり難いんだけど!」とか「サーバー落ちてんじゃないの!」とか、
ユーザーから問い合わせが入って、調査/対応するコストがかかったり、

テスト端末の通信料が上限に達して、「テストできません!」とか、
「サイト(アプリ)のバグじゃないですか!」とか、報告が上がってきて、
新規端末の購入費用がかかったり。

ただ、通信量が通常携帯電話(ガラケー)の10~20倍といわれているスマートフォンは、
現時点で人が多い場所だと通信速度が遅くなるなどの課題があり、
各キャリアとも、スマートフォンの影響でインフラ設備を増強せざるを得ないのは明らか。

近い将来パケット通信料に関して、定額で使い放題の「定額制」から、
使った分だけ料金が発生する「従量課金制」へ切り替わるんじゃないでしょうか。