sslimage

サイト運営者もセキュリティ対策を。Android端末とHTTP通信とSSL証明書の関係

Googleが発表している、世界のスマートフォン ユーザーの利用動向調査によると、
日本のスマートフォンユーザーの45%が、スマートフォンで商品を購入したことがあるとか。

もちろん、購入ページや会員登録ページなど、個人情報を入力/表示する通信にはSSL通信が必須。
通信の仕組みは↓な風に行われる。

sslimage

(1)Android端末は、Webサーバにアクセス(https://~)し、暗号化の仕様を伝える。
(2)Webサーバは、暗号化仕様をAndroid端末へ返す。
(3)Webサーバは、SSLサーバ証明書をAndroid端末へ送る。
(4)Android端末は、端末に登録されているルート証明書を用いて、
SSLサーバ証明書の署名検証を行い、Webサーバの公開鍵を取得する。
(5)Android端末は、公開鍵を用いて暗号化した共通鍵をWebサーバに送る。
(6)Webサーバは、共通鍵を複合し、以降のやりとりは共通鍵を用いて行う。

ポイントは(4)のところで、
Android端末に登録されている「ルート証明書」をもとに、
Webサーバの「SSLサーバ証明書」を署名検証する際に、証明書エラーとなるケースがありえます。

“この証明書は信頼できる認証機関のものではありません。”
と、端末の画面に出るらしい。

そんなメッセージが出るWebサイトでは、
いっさい個人情報を入力したくなくなるし、ましてや物を買うなどできないと思うので、
SSLサーバ証明書は、Android端末の各OSに対応したものをインストールしましょう。

google analytics

秒単位でアクセス状況が解る!Googleアナリティクスのリアルタイムレポート

無料アクセス解析の大御所・Googleアナリティクスがリアルタイムレポートに対応しました。

実際は、2011/9末から対応が始っていて、フォームから申請していたものの、
気がついたら対応されてましたw

これまでは、一日遅れで前日分のアクセスが反映される仕様だったのが、
ほぼほぼリアルタイムに反映されるようになりました。

トップページのメニューに↓のようなリンク”リアルタイム(ベータ版)”が追加され、
google analytics

・分単位/秒単位ごとのページビュー数
・アクセス元の所在地
・アクセスされているページ
・検索キーワード

などが↓のようにアナリティクス上で解ります。
(2人の方、まことにありがとうございます!)
google analytics

まあ、小生のようなこじんまりしたブログはさておき、
新サービスを公開したり、ブログ更新直後のアクセス状況を知りたい場合などは、
サーバー上でtailコマンドでアクセスログを監視するより、
Googleアナリティクスでレポートを見た方が確実に有効です。

つくば合宿

つくば合宿&関東シンビン会

第二の故郷・つくばでの合宿と、関東シンビン会の写真。

つくば合宿
牛久大仏。全高120m!!

つくば合宿
大仏さまのお顔。実物はこの1000個分のボリュームだそう。

つくば合宿
記念撮影①

つくば合宿
記念撮影②

つくば合宿
記念撮影③

つくば合宿
青空に映える大仏さま。

つくば合宿
真下から撮影した大仏さま。迫力満点。

つくば合宿
女の子も手を広げてはしゃいでます。

つくば合宿
日本百景に数えられる、筑波山。

つくば合宿
筑波山名物・がまの鼻くそチョコレート

つくば合宿
筑波山名物・願いが叶う願いガマ

シンビン会
明治×慶応。緊張感漂う、試合前校歌斉唱。

シンビン会
明治×慶応。学生服で校歌を歌う年配の方も気合十分。

シンビン会
明治×慶応。アツいゴール前の攻防

シンビン会
明治×慶応。試合前からアルコールを浴び続けるシンビン会の方々

シンビン会
帝京×早稲田。帝京勝利!!

シンビン会
帝京×早稲田。帝京勝利!!

google_ssl

Google検索がSSL化。リファラーが空になって検索キーワードが取れなくなってしまうのか。

表題の件ですが、より安全にGoogle検索が行えるようにするため、SSL暗号化をすることが発表されております。

いろんなサイトで纏められてるけども、

(1)Google アカウントにログインしたユーザーが対象
(2)google.comからの検索が対象
(3)google.co.jpは、今のところ変更時期未定
(4)これまでは、HTTPヘッダのリファラーから検索キーワードが取得できていたが、
SSL化になることで、「Google検索からきた」ことしか解らなくなる。
(5)ただし、ウェブマスターツールで直近30日間の上位1000位までの検索ワードは見れる。

アクセス解析的に大問題なんじゃないのー?と思いましたが、
google.comは米国ユーザー向けであり、日本ユーザー向けのgoogle.co.jpには今のところ対象外。

※google.comの日本語版で検索してみたら、やはりSSLになってた。

google_ssl

Googleさんの公式発表によると、SSL化による影響は10%以下程度らしい。

ログインしてるユーザーってそんな少ないもんなんかな?

ちなみに、ガラケーも同じ対応が入ったのかと思ったけど、google.comモバイル版は非SSLでした。

実はスマホアプリとの連携に適しているのは、Twitter>Facebookだった?

techdoll.jpさんの記事から。

モバイルアプリ解析ツールのLocalyticsが行った調査(日本限定ではない)によると、

Twitter連携のアプリがFacebook連携アプリの3倍の共有量があったとのこと。

共有量とは、アプリから”Tweet”、”いいね!”された後に、どれだか拡散されたかだと思う
(たぶん。)

Localytics

ただ、ソーシャルネットワーク連携としてはFacebookの方が人気が高く、

Facebook,Twitterいずれかと連携→20%

Facebookのみ連携→10%

Twitterのみ連携→1%

両方とも連携→9%

という結果が。

Facebook,TwitterともにAPIが公開されているので、アプリにSNS連携機能を埋め込む場合は、

「いいね!」ボタンだけじゃなくて、「Tweet」ボタンも忘れずに付けましょう。

続・セキュリティは大丈夫?Webサイトは要改修?Ezweb新ブラウザ対応

iPhone4Sが発売3日で300万台突破ーとかニュースになっていますが、
まだほったらかしにできないガラケーについて。(その2)


前回の記事
の中で、”EZブラウザ、PCサイトビューアのIPアドレス帯域の統一化”が
影響大きそうと書きましたが、その対応方法に関して。
情報を整理すると、

(1)新Ezブラウザは、2011年秋冬モデルから順次、搭載される。
(2)現時点(2011/10/18)で対象機種は、「F001」「URBANO AFFARE」の2機種。
(3)新EzブラウザのIP帯域は、2011/2に公開済み。
(4)PCサイトビューアでのアクセス時、EZ番号は送出されない。
で、新Ezブラウザか、現行ブラウザかの判定方法は以下の2点。
①User-Agentで判別する。
②IPアドレス帯域で判別する。

①のUA判定については、
以下のように、HTTP リクエストヘッダフィールドのHTTP_USER_AGENTに、
ブラウザバージョン”6.2_7.2.7.1.K.8″を含むかどうかで判別が可能。

現ブラウザ:KDDI-TS3H UP.Browser/6.2_7.2.7.1.K.1.400 (GUI) MMP/2.0
新ブラウザ:KDDI-FJ31 UP.Browser/6.2_7.2.7.1.K.8.400 (GUI) MMP/2.0

で、PCサイトビューアか携帯ブラウザかの判定方法は以下の方法。
HTTP リクエストヘッダフィールドのHTTP_X_UP_SUBNOに、
EZ番号が含まれているかどうか。

そんな感じで対応可能かと思われます。

WordPressの投稿記事に、jQueryでかっこいいイメージスライダー「Coin Slider」を組み込む方法

WordPressの投稿記事に組む込める、良いイメージギャラリーはないだろーか?
というわけで探してみたところ「Coin Slider」のエフェクトが気に入ったので実装。
こんな風にイメージギャラリーがWordPress(3.0.3)に組み込めました。


—以下設定方法—
(1)coin-sliderのサイトから、cssとjsをダウンロード
(2)フォルダごと、/wordpress/wp-content/uploads にアップロード
(3)画像ファイルをアップロード

※ディレクトリ構成はこんなかんじ
/wordpress/wp-content/uploads
└ coin-slider
├ images
│ ├ image_1.jpg (スライダーに入れたい画像1)
│ ├ image_2.jpg (スライダーに入れたい画像2)
│ └ image_3.jpg (スライダーに入れたい画像3)
├ coin-slider.js (coin-sliderのサイトから)
├ coin-slider.min.js (coin-sliderのサイトから)
└ coin-slider-styles.css (coin-sliderのサイトから)

(4)coin-slider-styles.cssに、下記1行を追加
#coin-slider-coin-slider {width:600px;}

—ここからWordPress側の設定—
(5)となりのソフト屋さんからプラグインをダウンロード
(6)(5)を解凍し、/wordpress/wp-content/pluginsに保存
(7)管理画面のプラグインから、’add css js’を有効化
(8)管理画面の投稿から、カスタムフィールドを追加。追加内容は以下の通り。

名前:cssfile 値:/wordpress/wp-content/uploads/coin-slider/coin-slider-styles.css
名前:js
値:$j = jQuery;
$j(document).ready(function() {
$j(‘#coin-slider’).coinslider({
width: 600, //画像幅
height: 400, //画像高
spw: 7, //画像切替時の横四角数
sph: 5, //画像切替時の縦四角数
});
});
名前:jsfile 値:/wordpress/wp-content/uploads/coin-slider/coin-slider.js
名前:jsfile 値:/wordpress/wp-content/uploads/coin-slider/coin-slider.min.js

(9)htmlを書く。
<div id=”coin-slider”>
<!– 画像ファイルの設定 ここから–>
<a href=”#” target=”_blank”><img src=”/wordpress/wp-content/uploads/coin-slider/images/image_1.jpg” alt=”画像1″ /><span><strong>画像1</strong>コメント1</span></a>
<!– ここまで 画像数分以降繰り返し–>
</div>
設定は以上。ナイススライダー!!

スマートフォン最適化サイトを開発して思ったこと。

相変わらずバタバタ開発してたけど、気づいた点を覚書き。

■端末選定や端末のクセを押さえる

・iPadやAndroidの古いOSver、タブレット端末は含めるか等、スコープとする端末をまず明確に。
・Androidで、画面サイズを正しく取得できない機種があるので、画面サイズで処理を振り分ける場合は要注意。
・Androidで、凝ったJavascriptのアニメーションが端末によって動かなかったりする。

■他デバイスと差別化をする

・PCサイト、Android/iPhoneアプリなどから横展開をする場合、まったく同じ機能、構成にする必要は無い。
・スマホ最適化サイトを誰が使うのか、利用シーン、どういったサイトにするのかをしっかり整理してから作るべき。
・画像は少なめでシンプルに。PCサイトのような感じで、画像をガツガツ使った
ページデザインにすると、3G回線だとページ読み込みが遅くなってしまい、使い勝手が損なわれる。

■セキュリティはPCサイトと同様に

・ガラケーとは違い、アクセスしてくるIPアドレスは無数にあり、ブラウザでCookieも使えるので、
普通のPCサイトと同じ考えでセキュリティを考慮する必要がある。

■SEO(クローラー)対策

・Googleでは、今のところスマートフォンやタブレット端末用のインデックス(検索エンジン)は
提供されていない。(ただ、UAをiPhoneに偽造したGooglebot-Mobileは巡回しているみたい。)

■プログラムソースに関して

・Android/iPhoneで同一ソースが可能。
ただし、Android/iPhonいずれかだけ手を入れる可能性があったり、今後どんな端末が出てくるか解らないので、Android/iPhoneで分離しておいた方が良い。
また何か出てきたら追記しようと思います。

セキュリティは大丈夫?Webサイトは要改修?Ezweb新ブラウザ対応

iPhoneだーauだーって盛り上がりを見せておりますが、
まだほったらかしにできないガラケーについて。

auの2011年秋冬モデルにてEZブラウザの仕様変更が告知されてまして、
変更点は以下4点。

(1)EZブラウザ、PCサイトビューアーのIPアドレス帯域の統一化
(2)HDML 非サポート
(3)HTTP リクエストヘッダフィールドの一部削除
(4)EZ サーバの機能縮小

(1)が影響が大きそうで、ガラケーとPCサイトビューアのIP帯域が同じになるらしい。しかも、現行のPCサイトビューアでは、JavascriptでUA、EZ番号の変更が可能。

かんたんログイン機能などでユーザー認証にEZ番号を用いている場合、
PCサイトビューア且つ偽造したEZ番号でなりすましが可能になり、
ユーザー認証が通ってしまう可能性が。

ガラケーだけならそもそもUAやEZ番号の変更ができないし、FireFoxのアドオンFireMobileSimulatorなどで偽造しても、アクセス元のIPアドレスで制限をかけておけば問題ありません。
(ちなみに、スマートフォンに関しては、ガラケーとはIP帯域が異なる)

つまりその、2011年秋冬モデルに搭載されている「PCサイトビューア」が、
これまで同様に”UA”,”EZ番号”の変更が可能な仕様であれば、
セキュリティ上、改修しなくちゃいけないサイトがいっぱいありそう。

ってなんだかんだ言ってたら、auさんが出している資料が更新されており、
「2011年秋冬モデルでは、PCサイトビューアにおいて、UAの変更、EZ番号の追加はできません。」だそうです。

とはいえ、以下サイトに載っているように、かんたんログイン機能をやめて、
cookieでセッション管理した方が良いというご指摘もあるので、スマホ全盛とはいえ、今後ガラケーに関する問題・課題もまだまだ出てきそうな感じです。

http://d.hatena.ne.jp/ockeghem/20110615/p1

真夏の祭典!!20分の激アツな戦い@高校ラグビーOB戦

8月14日。猛暑。帰省して高校のOB戦に行ってきた。
集まったOBの数ざっくり40人程度。ざっくり10代~50代まで。

ちなみに、我々谷間世代は4人(うち1人見学)のみ。
谷間と言われるだけあって、現役当時から相変わらずラグビー感度が低い世代。

試合は20分×3本勝負。志願して1本目のフランカーで出場。
開始4分でぜーぜー言ってバテたけど、一生懸命タックルして、ラインアウト投げました。

体力の欠如を露呈してしまい、2,3本目の試合中はベンチに座って
父母会の方々が用意してくれた麦茶とスポーツドリンクをガブ飲みしました。
暑い中いろいろ準備していただき、ありがとうございます。

試合後は10数年振りに高校のプールに入って、
水遊びと飛び込み練習をしてクールダウン。

帰りはもちろん佐野ラーメンをたらふく食べて帰りました。

佐野ラーメン あーと館