co3k.org

割と個人的には速報なので簡単にまとめます。

高木浩光さんの http://twitter.com/HiromitsuTakagi/status/16057716034 のアドバイスを受けて、 secure.softbank.ne.jp を通さないようにする方法などについて、以下のような質問を投げました。

https://secure.okweb3.jp/mobilecreation/EokpControl?&...

HTTP から HTTPS へのリンクについて
OpenPNE （http://www.openpne.jp/）というオープンソースのソフトウェアを開発している者です。

SSL 環境でログイン継続に Cookie を使うにあたり、 URL として https://example.com/ のような形式と、 https://secure.softbank.ne.jp/example.com/ のような形式の二種類がありうるかと思います。メールや直接 URL 入力で https://example.com/ にアクセスした場合は遷移先が secure.softbank.ne.jp 経由の URL になることはありませんが、 HTTP のページから何らかの方法で HTTPS に遷移する際には、おそらくゲートウェイ側で secure.softbank.ne.jp 付きの URL に変換され、アクセスするという形になっているのだろうと思います。

しかし、 認証継続等の用途で Cookie を扱う際に、 https://example.com/ と https://secure.softbank.ne.jp/example.com/ に向けにストアした Cookie が共有できないという問題があります。この問題が解決できなければ、 SSL を利用するサイトで Cookie を使用することができません。

そこで、以下数点質問いたします。

1. OpenPNE 3.5.3 では、この問題への対策として、ひとまず、HTTPS 通信は必ず secure.softbank.ne.jp 経由でおこなうように対策をおこないました。しかしこれでは、 secure.softbank.ne.jp の名称が変更になったり、そもそもこのような機能が廃止となった場合に対応ができません。今後も secure.softbank.ne.jp 経由のアクセスは継続して利用できるものなのでしょうか？

2. HTTP から HTTPS へのリンクをおこなう際、 secure.softbank.ne.jp 経由の URL に書き換わらないようにする手段はありますか？　ある場合、その手段を教えてください。ない場合、その手段を用意していただくことは可能ですか？

3. secure.softbank.ne.jp を経由するパターンと経由しないパターンの二種類がありうる件について、今後、ソフトバンクモバイル側でなにがしかの対応をおこなう予定はありますか？　ある場合はどのような対応を検討されているかご教示いただきたいと思います。

よろしくお願いいたします。

本当なら直接メール等で聞きたいところなのですが、どうも技術的な質問や要望はコミュニティ機能を使えとのことなのでコミュニティ機能を使って質問しました。

http://creation.mb.softbank.jp/request.html

技術的な御質問、御意見、御提案等に関しましては、本サイトへ 会員登録 (無料)をしていただきました上で、本サイトのコミュニティ機能をご利用ください。

その上で info@creation.mb.softbank.jp に問い合わせたら、手嶋屋はソフトバンクソリューションプロバイダー(SSP)（ http://creation.mb.softbank.jp/ssp/ssp_about.html ）なんだから技術サポートを使ってくれと言われたので、以下のようなメールを投げて情報を公開して貰うように訴えかけました。

御社の提供する携帯端末における HTTP から HTTPS への遷移の挙動についての質問および要望です。

（中略：上の質問と同じ）

さて、是非以上の質問にお答えいただきたいところなのですが、お答えいただく前に、回答方法について指定させていただきたく思います。

前述の質問への回答については、弊社としては、オープンな場所で示されることを希望しております。
理由としては、弊社はここで得た情報をオープンソースである OpenPNE に反映する予定であり、オープンソースに反映することが「ソフトバンクソリューションプロバイダー利用規約」での秘密保持条項に抵触しない、という確証をいただきたいためです。

実はこれと同様の質問を以下の URL においてもおこなっております。
https://secure.okweb3.jp/mobilecreation/EokpControl?&...

もし、可能であれば、本質問への回答はこのページ上でおこなっておこなっていただき、御社自らの手で公開情報としていただきたいのです。

それが難しいようでしたら、通常フローの回答でも構わないのですが、今後も秘密情報とするべき事項については回答を拒否していただきたいと思います。また、それ以外の情報については、弊社の手で公表しても構わない情報であるということを明記し、公表に対する許可をいただきたいと思います。

以上、よろしくお願いいたします。

海老原や OpenPNE プロジェクト、手嶋屋としては、当然 OpenPNE 開発だけでなく、他のソフトウェア開発にも活用可能なノウハウとして回答を公開し、 HTTPS で SoftBank 端末の Cookie が使用できないという現状を打破したいという願いがあるので、公開情報にできるのであれば公開してほしいという要望をここでは伝えています。

また、もし公開情報にできないと言われた場合に秘密保持契約によってオープンな情報にできなくなることを防ぐために、その場合は回答を拒否してもらうよう伝えています。この場合、どうしても公開情報にしてもらえなければ、自分たちで暴き出すしかありません。

そして、待ちに待った回答が以下です（抜粋）。

（略）当プログラムの窓口より回答する情報につきましては、SSP利用規約にて
ご説明させていただいておりますとおり、全て秘密情報にあたります。
一般に公開される前提としましては、ご回答をさせていただくことは
難しいことをご理解をいただけますと幸いでございます。

弊社として一般に公開しております情報としましては、現在MobileCreationにて
掲載しております情報・開発ガイド・開発ツールの内容が全てでございます。
また、コミュニティにつきましては、一般開発者様同士において情報交換等をする場として
設置をしており、弊社よりコメントをさせていただくことはできません。

この度のお問合せに対し、御社に対しましてご回答を差し上げることは可能でございます。（略）

なるほど、どういうスタンスなのかがよくわかります。

全項目に対して回答拒否とはまったく予想していませんでした。「御社に対しましてご回答を差し上げることは可能でございます」というのも一層怒りを誘います。ポイント高いですね。

> また、コミュニティにつきましては、一般開発者様同士において情報交換等をする場として
> 設置をしており、弊社よりコメントをさせていただくことはできません。

ってあるけど、じゃあ「技術的な御質問、御意見、御提案等」の「御意見」「御提案」はどうなんだよ飾りなのかよ、とか言いたいことはたくさんありますが、次にどう行動するかはちょっと考えようと思います。

あーしかし個人的には今回の一件とか UDID の件とか「私は聞いてない」の件とかで SoftBank への評価が一段と下がった感じです……非常に残念な感じ。

----
追記:
ソフトバンクモバイル CTO の 宮川潤一さんの素早い対応により事態が進展しそうです。本問題のみならずケータイWEBの問題についても理解を示していただけたようで嬉しく思います。これも https://twitter.com/rocaz さんや https://twitter.com/HiromitsuTakagi さんの助言等あってのことです。落ち着いたらどこかでしっかりお礼しなければ。
http://twitter.com/co3k/status/16223619061
http://twitter.com/miyakawa11/status/16230964666