高木浩光＠自宅の日記

2010年02月23日

■ はてブiPhoneアプリでログインしてはいけない

昨日、iPhone OS用の、はてなブックマークアプリがリリースされたのだが、

はてなブックマーク for iPhone(アプリ版)を公開しました, はてなブックマーク日記 - 機能変更、お知らせなど, 2010年2月22日

これは、下の図のように、最初のトップ画面（左）は専用アプリが表示しているものの、どれかをタップして画面を進めると、それはアプリに埋め込まれた「内蔵ブラウザ」（Safari部品）によって表示されるようになっている（中央、右）。

図1: はてなブックマークiPhone OSアプリ

ブクマされた記事をタップすると、はてなの外に出ることになるが、このときも「内蔵ブラウザ」で表示され、下の図のようになる。しかし、このアプリは、アドレスバーがない。ここがどこなのか、わからない。

図2: はてなの外に出たときの様子
（出典: http://designblog.ecstudio.jp/htmlcss/zen-coding-aptana.html）*1

あちこちタップしていると（てきとうなタイミングで）、下の図のように、はてなのログイン画面（のような画面）が出ることがある。

図3: はてなのログイン画面（のような画面）が出た様子

これが専用アプリならよい（アクセス先が固定だろうから）のだが、これはWebブラウザなのだから、どのアドレス（URL）にアクセスしているのかは定かでない。つまり、これは、どこかの偽サイトが出している画面かもしれないのだが、アドレスを確認する方法がない。

下の図のように、下に引っ張り下げてみても、上に何かあるわけでない。

図4: 下に引っ張ってみた様子

画面上のアプリの固定領域にあるボタンを押してみても、下の図のように、アドレスを確認する機能は用意されていない*2。検索欄をタップすると単にキーボードが出るだけだ。

図5: アドレスを確認する機能が用意されていない様子

ヘルプを見ると、下の図のように、「内蔵ブラウザで閲覧」（左）してページからタップして「ログイン操作を進めて」（中央）と言っている。偽サイトが現れる可能性に想像が及んでいない。現状での自衛策としては、設定画面（右）で「必ずSafariで開く」をオンに変更することしかない。

図6: ヘルプと設定画面

以前にも類似のことがあったが、どうしてこう、基礎がわからないのか。

新はてなブックマークの登録ブックマークレットは使ってはいけない, 2008年11月25日の日記

また、今回のアプリは、ログイン画面は https:// になっている*3ようだけども、画面が図3のままでは、https:// を使っても無意味である。

なぜなら、WebブラウザにおけるSSLの使用は、利用者が入力する際に今見ている画面が https:// になっていることを確認して利用しない限り、暗号化の意味をなさないからだ。

安全なWebサイト利用の鉄則 / よくある質問と答え

Q1: アドレスの確認を入力の直前にするのはなぜですか？（利用者）

リンクを辿ってページを移動している間に、どこのサイトにいるかが怪しくなる場合があります。特に、SSLによる通信の暗号化が必要な場面ではこのことは重要です。たとえば、利用するサービスのトップページでアドレスを確認し、本物サイトであることを確認したとしましょう。そこからリンクを辿ってログイン画面に辿り着いたとします。そのページは本物サイトでしょうか？そうとは限りません。なぜなら、リンクを辿っている途中のページに https:// ではない http:// のページが1つでもあったなら、そのページが通信路上で改竄されていた可能性を否定できません。いつのまにか違うサイトへジャンプさせられている可能性があります。

ページを移動するたびに見ている画面が https:// であることを確認するというのは、利用者にとって煩雑すぎる作業です。入力欄のあるページで利用者が重要な情報を入力をしようとしたそのときに、アドレスのドメイン名を確認し、https:// であることを確認するという手順が、シンプルかつ合理的です。

Q2: 入力ページを https:// にしなければならないのはなぜですか？（サイト運営者）

個人情報等をSSLで暗号化していると謳っているWebサイトで、重要な情報の入力欄が http:// のページになっていることがあります。そのとき、サイト運営者が、「入力したデータの送信先は https:// になっているから暗号化されます」と主張することがありますが、それは誤りです。

入力欄のページが http:// であるなら、そのページは通信路上で改竄されている可能性を否定できません。サーバ側のHTMLファイルが https:// へ入力データを送信するよう書かれていても、利用者のブラウザに到着したHTMLでは http:// へ送信するよう改竄されている可能性があります。利用者がそのことに気づかずに情報を入力してしまうと、暗号化されずに送信され、盗聴されてしまいます。

SSLは盗聴を防ぐだけでなく改竄も防止する技術です。入力欄を https:// ページとしておき、利用者が入力の直前にそのことを確認することによって、SSLは有効に働きます。

そもそも、専用アプリなのだから、はてなへのログイン（パスワードの入力と送信、認証）はWebブラウザを使わずに実現するのが普通だろう。

*1 アドレスバーが存在しないアプリは、出典を隠して著作物を表示しているとも言え、著作権侵害の面もあると思う。Webコンテンツの著者は、Webブラウザが当然にURLを示してくれることを前提として、著作物を提供しているのだから。

*2 このメニューにアドレス確認機能を追加するのは得策でないかもしれない。偽サイトがこれと同じ見た目の偽メニューを出す可能性を踏まえて、利用者が区別できるかを検討しないといけない。

*3 関連：公衆無線LANで使うと危ないiPod touchアプリに注意, 2008年12月6日の日記

本日のTrackBacks(全100件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20100223]

本日のリンク元

はてなブックマークコメント ×152 : 129, 18, 5 (2019-08-28)
https://www.google.com ×7 (2019-07-31)
https://wiki.mercari.in/jp/merpay/product/FTBO/Charge/bank/D... ×6 (2019-02-15)
はてなダイアリー [Imamura] ×12 : 11, 1 (2017-02-02)
https://www.google.co.jp ×6 (2015-08-30)
はてなブックマークコメント [tumblr.tokumaru.org/post/32844896241/gmail] ×51 (2012-10-04)
http://daisukeblog.com/?paged=5 ×4 (2012-09-16)
http://daisukeblog.com/?p=1834&utm_source=rss&utm_medium=rss... ×11 (2012-07-04)
http://daisukeblog.com/?p=1834 ×110 (2012-07-04)
http://tanpaku.grouptube.jp/diary/user/ichise/139498 ×6 (2011-11-11)
http://jp.techcrunch.com/archives/20110221will-you-miss-the-... ×53 (2011-02-22)
はてなダイアリー [bco 20110106] ×4 : 3, 1 (2011-01-07)
Twitter [iphone_dev_jp] ×27 : 12, 12, 2, 1 (2010-10-25)
はてなダイアリー [Imamura 20100427] ×89 : 76, 13 (2010-08-28)
はてなブックマークコメント [togetter.com/li/27206] ×5 (2010-06-07)
ime.nu /20100223.html ×10 (2010-05-27)
http://eeg.jp/TBf1 ×7 (2010-04-06)
http://iphone2.rightclicksright.biz/data/400949.html ×9 (2010-03-30)
http://espion.just-size.jp/archives/ ×29 (2010-03-11)
http://www.gizmodo.jp/7.html ×6 (2010-02-28)
http://www.gizmodo.jp/6.html ×6 (2010-02-26)
Twitter [tarchan] ×8 : 7, 1 (2010-02-26)
カトゆー ×213 : 203, 10 (2010-02-26)
http://www.gizmodo.jp/4.html ×12 (2010-02-25)
http://www.gizmodo.jp/3.html ×9 (2010-02-25)
http://www5b.biglobe.ne.jp/~nnaro/brainstorm.html ×422 (2010-02-25)
Tumblr [slashpot] ×2 : 1, 1 (2010-02-25)
Twitter [fladdict] ×19 : 16, 3 (2010-02-25)
http://espion.just-size.jp/archives/10/056121201.html ×146 (2010-02-25)
mew5.com ×77 : 72, 2, 2, 1 (2010-02-25)
http://espion.just-size.jp/archives/10/056121201.html?utm_so... ×8 (2010-02-25)
http://www.gizmodo.jp/2.html ×52 (2010-02-25)
Twitter [naagita] ×3 : 2, 1 (2010-02-25)
Twitter [griffin_stewie] ×54 : 48, 5, 1 (2010-02-25)
http://ckworks.jp/megaton/ ×12 (2010-02-25)
http://ckworks.jp/megaton/hoturl ×4 (2010-02-25)
http://miruto.org/cat1/post_655.html ×12 (2010-02-25)
Twitter [kenmaz] ×14 (2010-02-25)
http://www.gizmodo.jp/2010/02/post_6785.html?utm_source=atom... ×6 (2010-02-24)
http://www.gizmodo.jp/2010/02/post_6785.html?utm_source=rss2... ×7 (2010-02-24)
http://www.gizmodo.jp/2010/02/post_6785.html ×34 (2010-02-24)
http://www.gizmodo.jp/i/2010/02/post_6785.html ×14 (2010-02-24)
http://www.gizmodo.jp/m/e/post_6785.php ×4 (2010-02-24)
http://seesmic.com/web/index.html?locale=en ×7 (2010-02-24)
Twitter [usapon] ×7 (2010-02-24)
http://topsy.com/top5k/ja ×4 (2010-02-24)
Twitter [hatebu] ×42 : 32, 6, 3, 1 (2010-02-24)
Tumblr [pipithelhasa] ×12 (2010-02-24)
Tumblr [isshy] ×4 (2010-02-24)
http://zapanet.info/new/hatebu4/ ×5 (2010-02-24)
http://zapanet.info/blog/ ×13 (2010-02-24)
jcom.home.ne.jp [sarasiru] ×867 : 685, 163, 19 (2010-02-24)
Twitter [rnatori] ×4 (2010-02-24)
Twitter [iphonenews_j] ×3 : 2, 1 (2010-02-24)
http://www.geocities.jp/twicli/twicli.html ×13 (2010-02-24)
http://zapanet.info/blog/item/1893 ×309 (2010-02-24)
http://w3.ibm.com/connections/blogs/bassoon5091/entry/02_feb... ×9 (2010-02-24)

検索

iphone アプリ ×151 / はてなブックマーク iphone ×120 / キーワード不明 ×117 / iphone ログイン画面が出る ×117 / iphone ログイン ×85 / iphone アプリログイン ×83 / はてブ iphone ×79 / iphone ログイン画面 ×77 / iPhone ログイン ×62 / iphone 暗号化 ×57 / iphone ログインアプリ ×54 / iphone はてブ ×42 / iphone アプリ日記 ×37 / iPhone ログイン画面 ×28 / iphone アプリ暗号化 ×28 / iphone アプリ ssl ×25 / はてなブックマーク iPhone ×25 / iphone はてなブックマーク ×25 / はてぶ iphone ×24 / はてなブックマークアプリ ×24 / iPhone 暗号化 ×22 / iphone safari ssl ×21 / iphone アプリ SSL ×20 / はてブアプリ ×19 / iPhone アプリログイン ×18 / iphone 暗号化アプリ ×18 / はてブ iPhone ×18 / 日記アプリ ×17 / iPhone アプリ ×17 / iphoneアプリログイン ×15 / はてぶ iPhone ×14 / アプリログイン ×14 / iphone アプリブラウザ ×13 / iphone 日記アプリ ×13 / iphone アプリログイン画面 ×13 / 高木浩光はてブ ×13 / iPhone はてブ ×12 / iPhoneアプリ SSL ×11 / はてなブックマーク iphone アプリ ×11 / はてブ iphone アプリ ×10 / はてブ ×10 / iPhone はてなブックマーク ×10 / iphone 日記アプリ ×9 / 暗号化 iphone ×9 / iPhone アプリ日記 ×9 / iPhoneの画面ログインと出る ×9 / iphone ×9 / 日記アプリ ×9 / iphone ssl アプリ ×8 / iphone アプリ html ×8 / iphone アプリはてなブックマーク ×8 / iphoneアプリ ×8 / はてなブックマーク iphone ×8 / iphone はてぶ ×8 / はてなブックマーク iphoneアプリ ×8 / 高木浩光 ×8 / ログインアプリ ×8 / iPhone ログイン画面 ×7 / アプリ日記 ×7 / アプリログイン ×7 / ログインアプリ ×7 / はてブiPhoneアプリでログインしてはいけない ×7 / iphone ログイン画面 ×7 / iphone ログイン画面が出てくる ×7 / 日記 iphone アプリ ×7 / ログイン画面 iphone ×6 / iPhoneアプリログイン ×6 / iphone ブラウザ ssl ×6 / iphone ログイン画面邪魔 ×6 / 高木 iphone ×6 / はてぶログイン ×6 / iphone login ×6 / iphone ssl safari ×6 / iPhone ブックマークアプリ ×5 / iPhone はてぶ ×5 / iphoneログイン ×5 / iphone アプリ SSL通信 ×5 / アプリ iphone 日記 ×5 / iPhone パスワードは暗号化されずに送信 ×5 / iphone ssl通信 ×5 / safari ssl iphone ×5 / はてなブックマークiphone ×5 / iphone アプリブックマーク ×5 / はてな iphone ログイン ×5 / iphone 高木 ×5 / iphoneアプリ ssl ×5 / ログイン iPhone ×5 / はてなブックマーク for iPhone ×5 / iPhone アプリ暗号化 ×5 / iphone パスワードは暗号化されずに送信 ×5 / iPhone web ログイン ×4 / ブックマーク iphone アプリ ×4 / iphoneアプリ暗号化 ×4 / iphone 自宅 ×4 / iphone https ×4 / iphone 日記 ×4 / iPhone アプリログイン画面 ×4 / iphone 高木浩光内蔵ブラウザ ×4 / iPhoneアプリ暗号化 ×4 / iphone -hiromitsu.jp ×4 / iPhone Safari SSL ×4 / iphone アプリ内蔵ブラウザ ×3 / ログイン画面 http https ×3 / 日記アプリ iphone ×3 / iphone ssl ×3 / iPhone login ×3 / iphone アプリログイン機能 ×3 / ipad ブラウザ ssl ×3 / SSL ipod サファリ ×3 / iPhone ログイン画面が出てくる ×3 / パスワードは暗号化されずに送信と表示 iPhone ×3 / iphone アプリデータ送信 ×3 / 高木浩光 ×3 / ihone アプリ ×3 / はてなログインアプリ iPhone ×3 / iphone ログインブラウザ ×3 / iphone アプリはてブ ×3 / iphone アプリ html 表示 ×3 / iphone アプリ暗号 ×3 / iPhoneアプリでログインしてはいけない ×3 / はてなブックマークiphoneアプリ ×3 / iphone 通信暗号化 ×3 / iphone https SSL ×3 / はてな iphone アプリ ×3 / ログイン iphone ×3 / ログイン画面 iPhone ×3 / iphone ブックマークアプリ ×3 / iphone サイトログイン ×3 / iPhone ログイン画面が出る ×3 / iPhone 日記アプリ ×3 / iphone html アプリ ×3 / iPhone アプリ HTML ×3 / ログイン iphone アプリ ×3 / iphoneアプリ SSL通信 ×3 / はてブ iphoneアプリ ×3 / はてなダイアリーアプリ ×3 / iPhone ログインアプリ ×3 / iphone 暗号アプリ ×3 / 高木はてな iphone ×3 / iphone はてなブックマークアプリ ×3 / はてなブックマーク iphone ログイン ×3 / 高木浩光ブックマーク ×3 / アイフォンアプリログイン ×3 / iphoneアプリ SSL ×3 / iPhoneアプリはてなブックマーク ×3 / iphone アプリ画面 ×3 / はてなブックマークアプリ ×3 / iphone アプリウェブブラウザ ×3 / はてなブックマーク iPhone ×3 / はてぶアプリ ×3 / ssl safari iphone ×3 / iphone 個人情報入力 ×2 / iphoneでログイン ×2 / アイフォンアプリログイン ×2 / iphoneログイン画面出てくる ×2 / iponeログイン ×2 / iPone 暗号化 ×2 / でログイン ×2 / iphone safari ssl 表示 ×2 / iPhoneアプリ ssl ×2 / iphone safari https ×2 / ログインパスワードアプリ ×2 / takagi hiromitsu jp diary 20100223 ×2 / iphone アプリ ssl通信 ×2 / iphone apple ログイン ×2 / iphone パスワードは暗号化されずに送信されます ×2 / iPhone はてなブックマークアプリ ×2 / iphone アプリパスワード暗号化 ×2 / ssl iphone https ×2 / iPhone アプリ画面 ×2 / はてはて ×2 / iPhone アプリヘルプ画面 ×2 / iphone アプリトップ画面 ×2 / iphone アプリ diary ×2 / 暗号化 iphone アプリ ×2 / iphoneアプリはてなログイン ×2 / iPhone アプリ SSL ×2 / iphoneアプリ画面タップ ×2 / iphone アプリ画面 ×2 / iphone アプリページ移動 ×2 / iPhone 日記アプリ ×2 / iPhone してはいけない ×2 / iphone 暗号化通信 ×2 / sbbmobile ログイン iPhone ×2 / アイフォンログイン ×2 / iphone アプリ入力 ×2 / i-phone ログイン画面がでる ×2 / iPhoneアプリ内蔵Webブラウザー ×2 / アプリ iphone 新しいページ 11ページ ×2 / iphone ログオン ×2 / はてブ iPhone アプリ ×2 / IPHONE アプリ ×2 / iPhone 暗号化アプリ ×2 / tdiary iphone ×2 / iPhone 個人情報入力 ×2 / はてなブックマーク対応 iPhone アプリ ×2 / iOS Safari SSL ×2 / はてなダイアリーアプリ ×2 / http ログイン ×2 / html iphone アプリ ×2 / 高木浩光 iphone ×2 / iphone 連絡先アプリ ×2 / iphone safariでサインインという画面が ×2 / 高木浩光 iPhone ×2 / iphone アプリブラウザ 2010 ×2 / iPhone ログインと出る ×2 / はてなブックマーク iPhone アプリ ×2 / 高木はてな iPhone ×2 / iphone ブラウザ SSL ×2 / iphone WEB ログイン ×2 / アイフォン下から出てくるログイン画面 ×2 / iphone アプリ PDF 内蔵ブラウザ ×2 / アイフォンログイン画面 ×2 / ログイン画面になる iPhone ×2 / ssl iphone ブラウザ ×2 / はてなブックマーク iphone 使い方 ×2 / iphone https ログイン ×2 / iphone 確認ブラウザ ×2 / iphone 暗号化ログイン ×2 / app認証画面が出る ×2 / iphone https ssl ×2 / iphone アプリ盗聴 ×2 / はてぶアプリ ×2 / iPhone ログイン出てくる ×2 / iphoneアプリログイン画面 ×2 / iphone してはいけないこと ×2 / iPhone webアプリログイン ×2 / iPhone アプリデータ暗号化 ×2 / iphone SSL ブラウザ ×2 / iphone アプリ入力画面 ×2 / iPhone5S ログインアプリ ×2 / iPhone 日記 ×2 / 高木浩光アプリ ×2 / iPhoneログインの表示がでる ×2 / https ログイン ×2 / iPhone ログイン画面邪魔 ×2 / アプリでヌード ×2 / iphone アプリ 2010 ×2 / ログイン iPhone アプリ ×2 / iPhone ×2 / iphone トップ画面 ×2 / iphoneアプリトップ画面 ×2 / はてブiPhone ×2 / iphone はてなログイン ×2 / ログイン https ×2 / 日記 iPhone アプリ ×2 / パスワードは暗号化されずに送信 iphone ×2 / iPhoneアプリログイン機能 ×2 / takagi hiromitsu ブックマーク ×2 / ipad ssl https ×2 / SSL iPhone ×2 / iphone ログイン画面出てくる ×2 / iPhone ログイン web ×2 / ログイン画面 ssl 高木 ×2 / 高木浩光ドメイン確認ブックマーク ×2 / 高木浩光内部ブラウザ ×2 / iPhoneアプリログイン ×2 / hatena diary アプリ ×2 / 高木浩光＠自宅の日記 iphone ×2 / iPhone ログイン表示 ×2 / 日記アプリ iphone ×2 / iphone アプリアドレス ×2 / 高木 iPhone ×2 / iphoneでSSL暗号化サイト ×2 / iPhone いけない事 ×2 / iphone アプリからしか web ×2 / iphone アプリ画面固定 ×2 / iohone はてぶ送る ×2 / アプリ iPhone ログイン ×2 / 自宅にログイン ×2 / iphone 盗聴方法 ×2 / iPhoneアプリ ×2 / iphone トップ画面アプリ ×2 / 高木浩光ブラウザ ×2 / iphone SSL 通信 ×2 / 高木浩光内臓ブラウザ ×2 / はてなブックマークログイン ×2 / iphone ssl ログイン ×2

2010年02月23日

■ はてブiPhoneアプリでログインしてはいけない

最近のタイトル