特定バージョンのJavaを要求していた地方税電子納税サイト、Javaを廃止してActiveXに切り替え 42
ストーリー by hylom
こんなことに 部門より
こんなことに 部門より
あるAnonymous Coward 曰く、
地方税の電子申告を行えるeLTAX 地方税ポータルシステムでは、利用の際に特定のバージョンのJavaランタイムを必要としていたのだが、3月14日よりJava実行環境が不要となったという。Javaランタイムではかねてから脆弱性問題が指摘されていたためこれは素晴らしい……と思いきや、その代わりにActiveXを利用するように変更されたとのこと(eLTAXサイトの設定方法解説ページ、高木浩光@自宅の日記)。以前はセキュリティ対策のため、「利用時に指定のJava実行環境をインストールし、利用が完了したら直ちに最新版をインストールするか実行環境を削除せよ」との指示が出ており、それよりはマシという判断だろうか。
なお、必要要件はWindows Vista SP2、Windows 7 SP1、Windows 8.1およびInternet Explorer 9.0もしくは11.0(64bit版は除く)となっている。最近のWindowsマシンはほぼ64ビット版OSがインストールされているため、32ビットでIEを動作させるよう設定を変更し、拡張保護機能も無効化しなければならない。ちなみにMicrosoftは最新ブラウザのEdgeでActiveXコントロールのサポートを廃止していることからも分かるとおり、ActiveXについては今後のサポートを縮小させる雰囲気である。さらにWindows 8.1のサポートは約7年後(2023年1月10日)までなので、少なくともそこまでにはサイトを刷新しなければならないのだが、どうするのだろうか。
マリーさん曰く (スコア:0)
JavaがダメならActiveXを食べればいいじゃない。
なぜブラウザに拘るのか (スコア:0)
JavaやらActiviXに頼る理由が、ICカードに格納された証明書にアクセスするためだという。
それでも最新のJREを普通にインストールするだけとか、初期設定のまま数回のクリックでActiviXコントロールをインストールするだけ、というなら利用者にとって手軽なブラウザで、というのは理解できる。
しかし、実際には最新のJREをアンインストールし、オラクル開発者登録を行って古いJREをインストール。
初期設定後は古いJREのアンインストールを行う必要があった。
3/14以降のシステムでもインターネットオプションで初期設定よりもセキュリティを緩い方向に変更させる手間を利用者に求めている。
こんな手間をかけさせるくらいなら、Windows用アプリケーションで専用クライアントを配布した方がマシではないのか。
もっとも、こんなシステムを作る業者に「Windowsアプリで専用クライアント作って!」と発注したらIEコンポーネントのeLTAX専用ブラウザを作ってきそうだが。
Re: (スコア:0)
>もっとも、こんなシステムを作る業者に「Windowsアプリで専用クライアント作って!」と発注したらIEコンポーネントのeLTAX専用ブラウザを作ってきそうだが。
それでも、セキュリティゾーンがイントラネットで動いてくれる分、インターネットゾーンのセキュリティを解除させないと動かない現状よりまだましと言うねw
#開発がうちの会社関わってませんように(下請け零細企業社員)
Re: (スコア:0)
マカーを無視したほうが速そうだな
Re:なぜブラウザに拘るのか (スコア:1)
Windows PCも無視したら瞬速
Re: (スコア:0)
JavaやめてActiveX必須にしたのを見ると、Macは無視してるよね。
Re: (スコア:0)
全天球写真/動画のRICOH THETAってちょっと未来だな〜〜と思ってたら、
PC用専用ソフトはAIR製だった罠。
しょっちゅう使うわけでもないので、ほぼ起動ごとにAIRアップデートしてる。
Re: (スコア:0)
大抵、省庁のセキュリティポリシーを規定する文書に、アプリケーションのインストールを行わせないことって書いてある。
で、これが上位文書になってるから、各部門の開発担当者レベルではこれに従う以外の選択肢がない。
その迂回策で、ActiveXやJREならアプリケーションじゃないもん(笑)となる。
Re: (スコア:0)
正解。
「こんな仕様で請けてきちゃったんすか!?」と凍りつくマネージャ。
「本当にこれで行くんですか・・・・・」と怒りに震えるエンジニア達。
「正気じゃねぇ(w」と一笑に付す他チームの奴ら。
「俺、絶対にメンテナやらないっすからね!」と若手。
社内ML大炎上。
官のお仕事で酷いのを掴むとそんな感じ。
Re:なぜブラウザに拘るのか (スコア:1)
「利用しろと五月蠅いんですよ」と嘆くうちの税理士
「あははー」と笑う俺
if the kid?
最新バージョンのJavaに対応させるのがなぜできなかったのか (スコア:0)
代わりにActiveXコンポーネントを新規開発するって…意味がわからんにもほどがある。
Re: (スコア:0)
実は、旧バージョンのセキュリティーホールを突いて、本来出来ないはずのICカードへのアクセスをするシステムだったから。
…ぐらいのハッカーぢからだったらまだしも安心だったかも知れない。
Re: (スコア:0)
まぁ、良くはないけど、現実的な解決策じゃないかなぁ。
Re: (スコア:0)
UIなしのActiveXコンポーネントは、VBならもちろんのこと、VCでも驚くほど簡単に書けるようになってます
そしてaxの次は、Chrome用のプラグインを作れば良いでしょう
NPAPIサポートはもういいでしょうということで、デスクトップ向けはこれで完了かな?
Re: (スコア:0)
>セキュリティ的にも今後のメンテナンス考えても Active X 新規開発のほうが数倍マシってことでしょう。
セキュリティ的にもメンテナンス的にもダメでしょう。
ActiveXが動くのは実質的にIEだけですが、microsoft自体がIEを終了しようとしています。
後継のEdgeではActivexは非サポート。
ブラウザもプラグインも既に終了、サポートも終了が見えているのを使うのはダメダメでしょう。
まだjavaバージョンチェックだけ外す方が現実的だったんじゃ?
もちろん、activeXやアプレットに依存しない方がいいのは言うまでもありません。
Re: (スコア:0)
> まだjavaバージョンチェックだけ外す方が現実的だったんじゃ?
バージョン違いによる動作確認の予算が出ていないって辺りに0.5票。
Re: (スコア:0)
> 比較対象が Javaアプレット版の更新だったら、セキュリティ的にも今後のメンテナンス考えても Active X 新規開発のほうが数倍マシってことでしょう。
Active X も Edge の件で分かるように、Microsoft 的にはリタイヤさせる方針なんだし、
http://takagi-hiromitsu.jp/diary/20070710.html [takagi-hiromitsu.jp]
にあるような、JREを利用した組込みJavaアプリケーションというのがベストなんじゃないかしら。
これならOS Xみたいな他のOSに対応するのも比較的楽だし。
(証明書アクセス部分だけは作りこみになるのかな?)
Active XだとWindowsのみだし、またそのうち作り直しだよね。
Re: (スコア:0)
いや、後方互換用にはIE使ってくれ新機能使いたかったらEdge使ってくれって話で
Microsoft的はIEもActiveXもリタイヤさせる気なんてないよ。
Windows10でもIE11はサポートされていますよ (スコア:0)
>Windows 8.1のサポートは約7年後(2023年1月10日)までなので、
>少なくともそこまでにはサイトを刷新しなければならないのだが、どうするのだろうか。
Windows10でIE11を使えばいいのでは?
Re: (スコア:0)
ここは従来の仕様に倣って
「サイト閲覧時にWindows8.1をインストールし、終わったら削除してください」
という運用で対処すればいい
Re: (スコア:0)
Windows10にはIE11は既にインストールされているので、
そんな方法を使う必要はありませんよ。
韓国かよ (スコア:0)
韓国ではいまだにActiveXを使ってるって笑ってたけど、まさかの展開だな。しかもあっちはActiveX止めるって言うのに。
ここまで代替案無し (スコア:0)
ではここスラドにいるwindows技術者の方々は「ブラウザからICカードにアクセスできるような仕組みを作って」という依頼をどう解決する?
Re: (スコア:0)
ここはSCSKさんを呼んで、Curlについて説明をしてもらうってのは
Re: (スコア:0)
証明書の確認って要するにハッシュ計算でしょ。
emscripten
Re: (スコア:0)
Flashでできますよ。
Edyとかできてるし。
Re: (スコア:0)
eTaxでやってる。
http://www.sony.co.jp/Products/felica/consumer/guide/etax.html#flow [sony.co.jp]
Re: (スコア:0)
いやそいつもブラウザi/fがflash/airだ。
前はアプレットだったと思う。
Re: (スコア:0)
Flashも消えるのは時間の問題だから代替案になってないな。
Re: (スコア:0)
Flashだけは時間の問題とまでは言えない。
なにせChromeとWindows8以降のIEには標準で組み込まれ、速やかなアップデートが出来るようになってしまったから。
プラグイン廃止の流れも組み込みFlashは例外になってる。
別途インストールが必要なJREやActive XよりもWindows8以降に標準で含まれるFlashを使った方がマシだな。
webscoket&localhost (スコア:0)
こういう感じで行けるんじゃなかろうか
1.ICカードリーダーを起動して、適当なポートで接続を待つ
2.websocketでローカルホストの適当なポートにつなぐ
3.認証に必要な情報をwebscoket経由で送る
ぐぐったところ、webscoketはローカルホスト経由でもつなぐことができるので、しばらくの間は大丈夫だと思われる
ただ、この方法だとセキュリティ的な意味で危ないが…
winscoksにフックかければICカードの情報とか取れてしまうし
Re: (スコア:0)
逆だ、ICカード内のプロセッサで動かしたブラウザから納税サイトにアクセスする方法を考えるべきだ
#そもそも秘匿したい情報だからICカード内に格納してあるのに、なぜそれをネット経由でどこかに送らなければならない?
Re: (スコア:0)
会社側の政治的な駆け引きに載せられた省庁が
クソな技術を採用してしまってることが問題であって
技術的な複雑さは相当程度に低いよ
#話がわからないなら見栄はって質問しなくてもいいですよ
Re: (スコア:0)
ChromeアプリとFirefox拡張で良いのに。
Re: (スコア:0)
技術者視点では「前提条件がgdgdなクソ依頼なんて受けねえ」で一致するんじゃないですかね
営業としてはまた別の解があるんでしょうけど
Re: (スコア:0)
a.このXXXX.exeのリンクをクリックして出てきた「実行」ボタンを押してください
そこからプログラムが実行されますので、接続したICカードの情報が読み取れます
マジで、イントラネット専用ならそうしますよ?
b.事前セットアップでカードリーダ用のドライバをインストールしてください。
(WEBサーバとクライアントプログラムと通信して情報を読み取る)
普段の動作はブラウザで行います。
どうしてもJavaアプレットもActiveXもFlashなど、Sandbox系をセキュリティを緩和した状態での使用はだめだけど
クライアント環境にアクセスさせるならこっちですね。現実的じゃないけど。
これは素晴らしい……と思いきや、 (スコア:0)
毎年給与支払報告の作業がめんどくさくて、マイナンバー導入ってことでeLTAXの使用を(ぼんやりと)考えていた。
いや、個人番号記載の郵便物なんで簡易書留とかにする必要があるかもないかも?とか考えると、もしそうした場合の郵便料金も馬鹿にならないし。
で、まさに「これは素晴らしい……と思いきや」という状況。
まさかそんな方向に向かっていたとわ。
Java使用するところは (スコア:0)
利用届出(新規)のみだったので、利用届出提出したらActiveX削除&IE設定初期化する、
というのがとりあえずの対策かしら。
Re: (スコア:0)
Jabaは危険なので即刻アンインストールして使用するべきではないのは業界では有名だと思いますが、
Re: (スコア:0)
もしJavaが全部危険だとすると、(VMはOracle製じゃないけど)Javaでアプリを書くのが基本のAndroidは使っちゃダメだし、
Google は情弱企業ということになりますな。
(Android 以外の例として Google App Engine https://cloud.google.com/appengine/docs/java/release-notes [google.com] )
Java applet は使用するべきではないというのなら同意しますが、
Java applet と Java と Jaba の区別がつかないのはアカンでしょ。
Re: (スコア:0)
JABA [jaba.or.jp]を即刻アンインストールして使用しない?
「一生野球しない」宣言ですか?
そんなのが有名ってどこの業界でしょうか?