ohsexybabyのWebログ
栃木,Web,WordPress,スマートフォン,野球,ラグビーなど
サイト運営者もセキュリティ対策を。Android端末とHTTP通信とSSL証明書の関係
2011年11月18日
Googleが発表している、世界のスマートフォン ユーザーの利用動向調査によると、
日本のスマートフォンユーザーの45%が、スマートフォンで商品を購入したことがあるとか。
もちろん、購入ページや会員登録ページなど、個人情報を入力/表示する通信にはSSL通信が必須。
通信の仕組みは↓な風に行われる。
(1)Android端末は、Webサーバにアクセス(https://~)し、暗号化の仕様を伝える。
(2)Webサーバは、暗号化仕様をAndroid端末へ返す。
(3)Webサーバは、SSLサーバ証明書をAndroid端末へ送る。
(4)Android端末は、端末に登録されているルート証明書を用いて、
SSLサーバ証明書の署名検証を行い、Webサーバの公開鍵を取得する。
(5)Android端末は、公開鍵を用いて暗号化した共通鍵をWebサーバに送る。
(6)Webサーバは、共通鍵を複合し、以降のやりとりは共通鍵を用いて行う。
ポイントは(4)のところで、
Android端末に登録されている「ルート証明書」をもとに、
Webサーバの「SSLサーバ証明書」を署名検証する際に、証明書エラーとなるケースがありえます。
“この証明書は信頼できる認証機関のものではありません。”
と、端末の画面に出るらしい。
そんなメッセージが出るWebサイトでは、
いっさい個人情報を入力したくなくなるし、ましてや物を買うなどできないと思うので、
SSLサーバ証明書は、Android端末の各OSに対応したものをインストールしましょう。
秒単位でアクセス状況が解る!Googleアナリティクスのリアルタイムレポート
2011年11月14日
無料アクセス解析の大御所・Googleアナリティクスがリアルタイムレポートに対応しました。
実際は、2011/9末から対応が始っていて、フォームから申請していたものの、
気がついたら対応されてましたw
これまでは、一日遅れで前日分のアクセスが反映される仕様だったのが、
ほぼほぼリアルタイムに反映されるようになりました。
トップページのメニューに↓のようなリンク”リアルタイム(ベータ版)”が追加され、
・分単位/秒単位ごとのページビュー数
・アクセス元の所在地
・アクセスされているページ
・検索キーワード
などが↓のようにアナリティクス上で解ります。
(2人の方、まことにありがとうございます!)
まあ、小生のようなこじんまりしたブログはさておき、
新サービスを公開したり、ブログ更新直後のアクセス状況を知りたい場合などは、
サーバー上でtailコマンドでアクセスログを監視するより、
Googleアナリティクスでレポートを見た方が確実に有効です。
つくば合宿&関東シンビン会
2011年11月5日
第二の故郷・つくばでの合宿と、関東シンビン会の写真。
牛久大仏。全高120m!!
大仏さまのお顔。実物はこの1000個分のボリュームだそう。
記念撮影①
記念撮影②
記念撮影③
青空に映える大仏さま。
真下から撮影した大仏さま。迫力満点。
女の子も手を広げてはしゃいでます。
日本百景に数えられる、筑波山。
筑波山名物・がまの鼻くそチョコレート
筑波山名物・願いが叶う願いガマ
明治×慶応。緊張感漂う、試合前校歌斉唱。
明治×慶応。学生服で校歌を歌う年配の方も気合十分。
明治×慶応。アツいゴール前の攻防
明治×慶応。試合前からアルコールを浴び続けるシンビン会の方々
帝京×早稲田。帝京勝利!!
帝京×早稲田。帝京勝利!!
Google検索がSSL化。リファラーが空になって検索キーワードが取れなくなってしまうのか。
2011年11月5日
表題の件ですが、より安全にGoogle検索が行えるようにするため、SSL暗号化をすることが発表されております。
いろんなサイトで纏められてるけども、
(1)Google アカウントにログインしたユーザーが対象
(2)google.comからの検索が対象
(3)google.co.jpは、今のところ変更時期未定
(4)これまでは、HTTPヘッダのリファラーから検索キーワードが取得できていたが、
SSL化になることで、「Google検索からきた」ことしか解らなくなる。
(5)ただし、ウェブマスターツールで直近30日間の上位1000位までの検索ワードは見れる。
アクセス解析的に大問題なんじゃないのー?と思いましたが、
google.comは米国ユーザー向けであり、日本ユーザー向けのgoogle.co.jpには今のところ対象外。
※google.comの日本語版で検索してみたら、やはりSSLになってた。
Googleさんの公式発表によると、SSL化による影響は10%以下程度らしい。
ログインしてるユーザーってそんな少ないもんなんかな?
ちなみに、ガラケーも同じ対応が入ったのかと思ったけど、google.comモバイル版は非SSLでした。
実はスマホアプリとの連携に適しているのは、Twitter>Facebookだった?
2011年10月31日
techdoll.jpさんの記事から。
モバイルアプリ解析ツールのLocalyticsが行った調査(日本限定ではない)によると、
Twitter連携のアプリがFacebook連携アプリの3倍の共有量があったとのこと。
共有量とは、アプリから”Tweet”、”いいね!”された後に、どれだか拡散されたかだと思う
(たぶん。)
ただ、ソーシャルネットワーク連携としてはFacebookの方が人気が高く、
Facebook,Twitterいずれかと連携→20%
Facebookのみ連携→10%
Twitterのみ連携→1%
両方とも連携→9%
という結果が。
Facebook,TwitterともにAPIが公開されているので、アプリにSNS連携機能を埋め込む場合は、
「いいね!」ボタンだけじゃなくて、「Tweet」ボタンも忘れずに付けましょう。
続・セキュリティは大丈夫?Webサイトは要改修?Ezweb新ブラウザ対応
2011年10月20日
iPhone4Sが発売3日で300万台突破ーとかニュースになっていますが、
まだほったらかしにできないガラケーについて。(その2)
前回の記事の中で、”EZブラウザ、PCサイトビューアのIPアドレス帯域の統一化”が
影響大きそうと書きましたが、その対応方法に関して。
情報を整理すると、
(1)新Ezブラウザは、2011年秋冬モデルから順次、搭載される。
(2)現時点(2011/10/18)で対象機種は、「F001」「URBANO AFFARE」の2機種。
(3)新EzブラウザのIP帯域は、2011/2に公開済み。
(4)PCサイトビューアでのアクセス時、EZ番号は送出されない。
で、新Ezブラウザか、現行ブラウザかの判定方法は以下の2点。
①User-Agentで判別する。
②IPアドレス帯域で判別する。
①のUA判定については、
以下のように、HTTP リクエストヘッダフィールドのHTTP_USER_AGENTに、
ブラウザバージョン”6.2_7.2.7.1.K.8″を含むかどうかで判別が可能。
現ブラウザ:KDDI-TS3H UP.Browser/6.2_7.2.7.1.K.1.400 (GUI) MMP/2.0
新ブラウザ:KDDI-FJ31 UP.Browser/6.2_7.2.7.1.K.8.400 (GUI) MMP/2.0
で、PCサイトビューアか携帯ブラウザかの判定方法は以下の方法。
HTTP リクエストヘッダフィールドのHTTP_X_UP_SUBNOに、
EZ番号が含まれているかどうか。
そんな感じで対応可能かと思われます。
WordPressの投稿記事に、jQueryでかっこいいイメージスライダー「Coin Slider」を組み込む方法
2011年10月10日
WordPressの投稿記事に組む込める、良いイメージギャラリーはないだろーか?
というわけで探してみたところ「Coin Slider」のエフェクトが気に入ったので実装。
こんな風にイメージギャラリーがWordPress(3.0.3)に組み込めました。
広島合宿マンホールカープ仕様
広島合宿赤ローソンカープ仕様
広島合宿コンビニ店員さんカープ仕様
広島合宿めちゃめちゃ綺麗なzoom zoomスタジアム
広島合宿めちゃめちゃ綺麗なzoom zoomスタジアム
広島合宿めちゃめちゃ綺麗なzoom zoomスタジアム
広島合宿スタジアム内カープ達磨とカープ鯛
広島合宿7回裏ラッキーセブン
広島合宿もう生で見られないであろう、巨人相手にスミ1勝利!!!
広島合宿篠田ヒーローインタビュー
広島合宿スタジアムで購入した丸Tシャツ
広島合宿初・厳島神社。猛暑のため、シカもバテてます。
広島合宿初・厳島神社。大鳥居
広島合宿ひろしまお好み物語・駅前ひろば BOSSにて。
—以下設定方法—
(1)coin-sliderのサイトから、cssとjsをダウンロード
(2)フォルダごと、/wordpress/wp-content/uploads にアップロード
(3)画像ファイルをアップロード
※ディレクトリ構成はこんなかんじ
/wordpress/wp-content/uploads
└ coin-slider
├ images
│ ├ image_1.jpg (スライダーに入れたい画像1)
│ ├ image_2.jpg (スライダーに入れたい画像2)
│ └ image_3.jpg (スライダーに入れたい画像3)
├ coin-slider.js (coin-sliderのサイトから)
├ coin-slider.min.js (coin-sliderのサイトから)
└ coin-slider-styles.css (coin-sliderのサイトから)
(4)coin-slider-styles.cssに、下記1行を追加
#coin-slider-coin-slider {width:600px;}
—ここからWordPress側の設定—
(5)となりのソフト屋さんからプラグインをダウンロード
(6)(5)を解凍し、/wordpress/wp-content/pluginsに保存
(7)管理画面のプラグインから、’add css js’を有効化
(8)管理画面の投稿から、カスタムフィールドを追加。追加内容は以下の通り。
名前:cssfile 値:/wordpress/wp-content/uploads/coin-slider/coin-slider-styles.css
名前:js
値:$j = jQuery;
$j(document).ready(function() {
$j(‘#coin-slider’).coinslider({
width: 600, //画像幅
height: 400, //画像高
spw: 7, //画像切替時の横四角数
sph: 5, //画像切替時の縦四角数
});
});
名前:jsfile 値:/wordpress/wp-content/uploads/coin-slider/coin-slider.js
名前:jsfile 値:/wordpress/wp-content/uploads/coin-slider/coin-slider.min.js
(9)htmlを書く。
<div id=”coin-slider”>
<!– 画像ファイルの設定 ここから–>
<a href=”#” target=”_blank”><img src=”/wordpress/wp-content/uploads/coin-slider/images/image_1.jpg” alt=”画像1″ /><span><strong>画像1</strong>コメント1</span></a>
<!– ここまで 画像数分以降繰り返し–>
</div>
設定は以上。ナイススライダー!!
スマートフォン最適化サイトを開発して思ったこと。
2011年10月1日
相変わらずバタバタ開発してたけど、気づいた点を覚書き。
■端末選定や端末のクセを押さえる
・iPadやAndroidの古いOSver、タブレット端末は含めるか等、スコープとする端末をまず明確に。
・Androidで、画面サイズを正しく取得できない機種があるので、画面サイズで処理を振り分ける場合は要注意。
・Androidで、凝ったJavascriptのアニメーションが端末によって動かなかったりする。
■他デバイスと差別化をする
・PCサイト、Android/iPhoneアプリなどから横展開をする場合、まったく同じ機能、構成にする必要は無い。
・スマホ最適化サイトを誰が使うのか、利用シーン、どういったサイトにするのかをしっかり整理してから作るべき。
・画像は少なめでシンプルに。PCサイトのような感じで、画像をガツガツ使った
ページデザインにすると、3G回線だとページ読み込みが遅くなってしまい、使い勝手が損なわれる。
■セキュリティはPCサイトと同様に
・ガラケーとは違い、アクセスしてくるIPアドレスは無数にあり、ブラウザでCookieも使えるので、
普通のPCサイトと同じ考えでセキュリティを考慮する必要がある。
■SEO(クローラー)対策
・Googleでは、今のところスマートフォンやタブレット端末用のインデックス(検索エンジン)は
提供されていない。(ただ、UAをiPhoneに偽造したGooglebot-Mobileは巡回しているみたい。)
■プログラムソースに関して
・Android/iPhoneで同一ソースが可能。
ただし、Android/iPhonいずれかだけ手を入れる可能性があったり、今後どんな端末が出てくるか解らないので、Android/iPhoneで分離しておいた方が良い。
また何か出てきたら追記しようと思います。
セキュリティは大丈夫?Webサイトは要改修?Ezweb新ブラウザ対応
2011年9月23日
iPhoneだーauだーって盛り上がりを見せておりますが、
まだほったらかしにできないガラケーについて。
auの2011年秋冬モデルにてEZブラウザの仕様変更が告知されてまして、
変更点は以下4点。
(1)EZブラウザ、PCサイトビューアーのIPアドレス帯域の統一化
(2)HDML 非サポート
(3)HTTP リクエストヘッダフィールドの一部削除
(4)EZ サーバの機能縮小
(1)が影響が大きそうで、ガラケーとPCサイトビューアのIP帯域が同じになるらしい。しかも、現行のPCサイトビューアでは、JavascriptでUA、EZ番号の変更が可能。
かんたんログイン機能などでユーザー認証にEZ番号を用いている場合、
PCサイトビューア且つ偽造したEZ番号でなりすましが可能になり、
ユーザー認証が通ってしまう可能性が。
ガラケーだけならそもそもUAやEZ番号の変更ができないし、FireFoxのアドオンFireMobileSimulatorなどで偽造しても、アクセス元のIPアドレスで制限をかけておけば問題ありません。
(ちなみに、スマートフォンに関しては、ガラケーとはIP帯域が異なる)
つまりその、2011年秋冬モデルに搭載されている「PCサイトビューア」が、
これまで同様に”UA”,”EZ番号”の変更が可能な仕様であれば、
セキュリティ上、改修しなくちゃいけないサイトがいっぱいありそう。
ってなんだかんだ言ってたら、auさんが出している資料が更新されており、
「2011年秋冬モデルでは、PCサイトビューアにおいて、UAの変更、EZ番号の追加はできません。」だそうです。
とはいえ、以下サイトに載っているように、かんたんログイン機能をやめて、
cookieでセッション管理した方が良いというご指摘もあるので、スマホ全盛とはいえ、今後ガラケーに関する問題・課題もまだまだ出てきそうな感じです。
真夏の祭典!!20分の激アツな戦い@高校ラグビーOB戦
2011年8月26日
8月14日。猛暑。帰省して高校のOB戦に行ってきた。
集まったOBの数ざっくり40人程度。ざっくり10代~50代まで。
ちなみに、我々谷間世代は4人(うち1人見学)のみ。
谷間と言われるだけあって、現役当時から相変わらずラグビー感度が低い世代。
試合は20分×3本勝負。志願して1本目のフランカーで出場。
開始4分でぜーぜー言ってバテたけど、一生懸命タックルして、ラインアウト投げました。
体力の欠如を露呈してしまい、2,3本目の試合中はベンチに座って
父母会の方々が用意してくれた麦茶とスポーツドリンクをガブ飲みしました。
暑い中いろいろ準備していただき、ありがとうございます。
試合後は10数年振りに高校のプールに入って、
水遊びと飛び込み練習をしてクールダウン。
帰りはもちろん佐野ラーメンをたらふく食べて帰りました。
