ChevronWP7がサービス終了を正式にアナウンス

Posted on by

2012/04/13、昨日、ついにChevronWP7がサービス終了を正式にアナウンスしました。

The ChevronWP7 Labs experiment comes to an end (ChevronWP7)

・ChevronWP7経由で発行されたIDは、2012/04/13以降、120日間で有効期限が切れる。

・そのため、App Hubのメンバーシップへの無料アップグレードを受け取ることができる。

 

ChevronWP7とは、通常、Microsoft社しか提供できない開発用のWindows Phoneのアンロックサービスを、(自称?)サードパーティが、以下を目的として格安で提供するというサービスでした。

(1)MSの開発用のWindows Phoneのアンロックサービスの料金が高い。

(2)Androidのような審査(制約)のないホビーユーザ向けのオープンなアプリ配布モデル。

 

WP7の日本のコミュニティの中には、ChevronWP7について、以下のようなことを、頑なに主張される方もいらっしゃいました。

しかし、ChevronWP7は、MSによって公式にリジェクトされたことになります。

現実を受け止める必要があるでしょう。

追記:2012/04/14 15:52

http://nanapho.jp/archives/tag/chevronwp7 (ななふぉ氏のサイト)

・ChevronWP7は、単にMSの公式サービスの仕組みを裏で使っているだけなので、不正なサービスじゃない。MS公式のサービスと等価なもの。

・上記の情報ソースは、Engadgetか海外の情報サイトのみ。(MS社のホームページを検索してもChevronWP7に関する言及は一切なし)

 

ここから先は自分の憶測になりますが、MSからすれば、以下のような事実しか残らなかったのではないかと思われます。

・MSは、iOSとほぼ同じブランディング戦略をとろうとしている。(Androidのようなオープン戦略ではない)

・MSは、ChevronWP7のせいでWPのセキュリティ(エコシステム≒垂直統合モデル)が崩壊しかけた。

・MSは、口封じのために金銭的負担とセキュリティ的に脆弱というイメージを払拭することが強いられた。

 

Android界隈で頻発しているマルウェア事件、不正名個人情報、プライバシー情報収集問題を見るにつけ、オープンだが、無秩序な世界は、一般ユーザ、一般消費者にとってなんらメリットをもたらすことはないのではないかと考えています。

・なぜ、商売しようというアプリ開発者は、審査を受けるという手間を惜しむのでしょうか?

・なぜ、あなたが使いたいという機能の使用が禁止されているのでしょうか?

その理由を今一度よく考えて頂きたいものです。

 

Firefoxで「Google Chromeをインストールしよう」ボタンを表示させないようにする方法

Posted on by

自分はメインのブラウザとしてFirefoxを使用しているのですが、Googleの検索ページに行くと毎回「Chromeをインストールしよう」と表示されるのがうざい。

もう我慢の限界。。

adblock plusで以下のフィルタ設定をしたらすっきり。表示されなくなりました。

「google.co.jp##div#pmocntr2」

めでたし、めでたし。

ちなみに、以前はChromeをメインのブラウザとして使っていましたが、Googleが3/1よりプライバシーポリシーを変更してからセカンドブラウザになりました。

 

今日はエイプリールフール

Posted on by

今年もエイプリールフールネタで大いに楽しませて頂いています。

いるんですが、一言。

「セキュリティ関係の ”完成度の高い” エイプリールフールネタはやめてね。」

シャレにならないから。。(^_^;)

めちゃめちゃ信用してるからまったく疑わなかった!\(^o^)/ > 某氏

P.S

まだまだ修行が足りませんなー。真実を見極める目をもっと養わなきゃー! > 自分 (>_<)

 

ANDROID_IDは使わないで下さい!

Posted on by

日本Androidの会のMLに迷える子羊さんの投稿を見つけたので、辻説法してきました。

ANDROID_IDがおかしい機種のANDROID_IDについて(JAG-ML)

 

簡単にまとめると、以下の通りです。

・ANDROID_IDは揮発性とはいえ、ユーザには簡単には変えられない事実上の固定値であることから、IMEI、iOSのUDIDに相当するとされています。Super Cookieとも言われています。

・ユーザに事前に正当な理由を説明し、利用許諾を得られない限り、ユーザのプライバシー保護の観点から安易に使用することは容認されない社会情勢になりつつあります。これは日本だけでなく、欧米でも問題とされています。

・現在の日本の個人情報保護法では、これらの値が個人情報にあたるとはされていないようですが、今後、変わることが予想されます。

・また、ANDROID_IDはバグがあることから、Googleが公式に使用しないようアナウンスしています。ユーザ認証などに用いることはもってのほかです。

Identifying App Installations

・ANDROID_IDってなに?どんな問題があるのという方はこちらも参照。

参考:Android Marketのハック事情(6):Androidの固有識別情報-1/ANDROID_ID

 

ということで、ANDROID_IDは、セキュリティ、プライバシーの保護の観点から、絶対に使わないで下さい!


 

 

 

「twitterセキュリティネタまとめ」について思うこと

Posted on by

ブログに書きます。

Wi-Fiの通信をスニファーする方法を求めてネットをさまよっていたところ、たまたま発見したのがご縁で「twitterセキュリティネタまとめ」というサイトをいつも楽しく拝見させて頂いています。

このサイトの ”なかのひと” さんは、恐らく、狭義の意味でも、広義の意味でも、セキュリティに詳しい方だとは思うのですが、最近、とても気になっていることがあります。

それは、

・fc2.comのブログ本体「twitterセキュリティネタまとめ」には、fc2内外の怪しい外部サービスがてんこ盛りで仕込まれている。

→ Adblock Plusが猛烈に反応する、自前のSquidのフィルタでもブロックされまくる。。

・最近、さらに ”アヤシイ” 「NAVERまとめ」にまとめが作られるようになった。

→ Adblock Plus&自前のSquidのフィルタがないととてもじゃないけど迂闊にアクセスできない。。

 

Google Analyticsや、以前あれだけ騒がれたmicroadだのが仕込まれているのに、一切の告知がないんです。

なんかモヤモヤするんですよね。

自分だけなのかなぁ。。

 

博士と助手の ”SecureUDID” 解説講座

Posted on by

Appleがプライバシー保護の観点から指摘を受けて、デベロッパーによる使用を禁止した?UDIDの代替技術を目指している、SecureUDIDについて、Corona方面で大活躍中のころすけ大先生(@corosuke_k 氏)がズバッと解説して下さいました。

 

ころすけ大先生(博士)、聞き手役のにーまる(助手)、生徒役のみなさんによるつぶやきをtogetterでまとめてみました。

博士と助手の ”SecureUDID” 解説講座(togetter)

参考:SecureUDIDはAppleのUDID(ユニーク・デバイスID)の使用禁止を受けたオープンソースの代替技術(TechCrunch)

http://jp.techcrunch.com/archives/20120327secureudid-is-an-open-source-solution-to-the-apple-udid-problem/

参考:SecureUDID公式

http://www.secureudid.org/

 

 

SecureUDIDは、アプリの利用者(消費者)の保護の観点からみた場合、まだまだ課題も多いですが、貴重な第一歩ではないかと思います。

 

SecureUDIDを簡単にまとめると、以下のようになります。

・SecureUDIDは、domain(アプリ毎に固有の文字列)とsaltによる文字列で、アプリ毎にSecureUDID(ソフトウェアで生成されたUDID)を生成する。

−SecureUDIDは、アプリ毎、端末毎に払い出されるので、ユーザが複数の端末を使用している場合は、ユーザがそれぞれの端末でオプトアウト手続きを行う必要がある。

・SecureUDIDで公開されているソースコードは、あくまでリファレンス実装であり、実際に使用する場合は、アプリ開発者がアプリの利用者(消費者)のプライバシーの保護を考慮してセキュリティ的な様々な工夫をする必要がある。

−domainとsaltはアプリの中に埋め込まれているため、domainとsaltがリバースエンジニアリング等により漏洩しないように保護する必要がある。

−SecureUDIDの払い出し状況、オプトアウト状況の管理を、iOSのクリップボードで行っている。(iOSではアプリ間で情報を共有する手段がクリップボードしかないための苦肉の策と考えられる)

iOSのクリップボードはユニークな名前がわからないとアクセスできないようなインスタンスを作成することができるが、クリップボードのインスタンスに指定されたユニークな名前がばれてしまうと、容易に他のアプリからアクセスできてしまうため、端末内で管理するのではなく、サーバと連携して管理できるようにする必要がある。

 

 

 

Androidの平文通信をrooted無しでパケットキャプチャできるアプリtPacketCaptureがリリースされる

Posted on by

※この記事はステマです!w (^_^;)

技術力で定評のあるタオソフトウェアさんから、なんと、Androidの平文通信をrooted無しでパケットキャプチャできるアプリtPacketCaptureがリリースされました。

 

タオソフトウェア公式のリリースアナウンスはこちら。

世界初!!非root端末でパケットキャプチャが行えるtPacketCaptureを公開しました

Google Playでもアプリが配布されています。

NewImage

動作環境は、Android4.0以上、キャプチャできる通信は平文通信、つまり、TLS/SSL、httpsなど暗号化されていない通信に限られますが、端末ユーザ自身が正規の方法で、セルラー、Wi-Fiなどの通信ベアラに依らず通信内容を自由に参照することができるようになります。

・記録したデータは一般的なパケットキャプチャツールで読み込み可能なPCAP形式で出力されるので、ファイルをPCに転送してWiresharkなどの解析ツールで利用することができます。

・また、キャプチャ処理自体に外部サーバを使用しない、つまり、端末で閉じて処理を行うので、安心して使えます。

※本アプリは、ネイティブ実装されているところがある(一部?全部?)ので、Javaのみで実装されていたテスト版に比べて格段に処理速度が速くなっているそうです。(by @tao_gaku さん)

 

Android史上、画期的なアプリと言えます。コロンブスの卵、発想の転換、まさしくアイデアの勝利と言えるでしょう。

使う人を選ぶかもしれませんが、セキュリティを必要としている法人方面、学術分野などでとても有意義なアプリになることは間違いないでしょう。

 

tPacketCaptureの登場により、ユーザの個人情報やプライバシー情報などを ”ないがしろ” にする意識が低く技術力の低い悪徳業者のアプリは死滅することが予想されます。

 

一方、不正に改造された端末(OEM unlockが正規に認められていない端末で不正にroot権限を取得した端末)で実行された場合のみを例外として、通信の中間者攻撃への対策をおろそかにしているセキュリティ要件のアプリは、可及的速やかにアプリ及びサーバのセキュリティ対策を強化する必要があるでしょう。

 

ということで、「(狭義の)セキュリティクラスタ VS 悪徳業者さん」のバトルの展開が楽しみです。(^_^)

 

 

【緊急】Android SDK r16→r17にバージョンアップするとEclipseでアプリが正常にビルド、実行が出来なくなる件について

Posted on by

本日、なにげなくAndroid SDK r16からr17にバージョンアップしたところ、これまでEclipseでアプリが正常にビルド、エミュレータ及び実機で実行出来ていたのに、大量のエラーが表示されて、正常にビルド、実行ができなくなる問題が発生しました。

途方にくれていたところ、 @t_yamo さんからこんな救いの手が。

 

自分の手元のEclipseのプロジェクトでは、大量の「java.lang.NoClassDefFoundError…」のエラーが表示されて、アプリが正常にビルドできなかったり、実行するとアプリがクラッシュして全然動かないという症状が発生します。

How to fix the “NoClassDefFoundError” with ADT 17

上記のサイトの2つを設定した後、Project Cleanして、Eclipse再起動することで、正常にビルド、実行ができるようになるとのことです。

Eclipseを再起動するところまでやるというのがポイントのようです。

 

ということで、今まさに納品に追われているという方は、試してみて下さい。

自分は、明日、確認します。

 

wordpressで特定のカテゴリのエントリを表示させないプラグイン

Posted on by

wordpressでは投稿したエントリーが、一律ホームに表示されてしまいますが、特定のカテゴリのエントリーを表示させたくないという場合があります。

そんな時は、Advanced Category Excluderというプラグインを使えば簡単に実現できます。

Advanced Category Excluder : 特定のカテゴリの記事を表示させないプラグイン

ですが、最新のPHPの環境だと、自動保存された下書きが不正に表示されてしまいます。

そこで、以下のサイトの情報に基づいて、advanced-category-excluder.phpを以下のように修正すれば、正常に表示されるようになります。

PHPのバージョンアップでAdvanced Category Excluderの不具合解決

advanced-category-excluder.php の2箇所を修正します。

112 行目付近

function ace_where(&$where,$filter=”")

function ace_where($where,$filter=”")

 

163 行目付近

function ace_join(&$join,$filter=”")

function ace_join($join,$filter=”")

[ & ] を削除するだけです。