アカウント名:
パスワード:
「楽天アプリ市場」の野良APKファイル(rapps.apk)を http(暗号化無し)でダウンロードさせている時点で、セキュリティのことを何も考えていないのがバレバレです。
暗号化無しで配信されていることの確認方法は、下記の通り。
(なお、手動で「http://」の部分を「https://」に書き換えれば、https通信でダウンロード可能なようですが、スマホでわざわざそんなことをする人は、1% も居ないと思います)
ちなみに、楽天アプリ市場 [rakuten.co.jp](TLSで暗号化)のトップページ1ページの容量を見てみると、
HTML ファイル : 58 KB ( 1ファイル)CSS ファイル : 103 KB ( 3ファイル)JavaScript ファイル : 269 KB (20ファイル)JSONP ファイル : 2 KB ( 1ファイル)JPEG ファイル : 3.23 MB ( 7ファイル)PNG ファイル : 2.97 MB (39ファイル)==========================================合計 : 6.63 MB (71ファイル)
と、1ページ読み込むだけで 6.63 MB(71ファイル)の通信が発生する富豪的Web製作を行っているようです。rapps.apk [rakuten.co.jp] が 7.06 MB なので、楽天が http でダウンロードさせている APK ファイルと、Webページ1ページの容量は大差ありません。従って、https(TLS)で APK ファイルを配信すると負荷が高いから http で配信しているという言い訳は成立しません。
あと、楽天アプリ市場のサイト [rakuten.co.jp] が普通のTLS(https)証明書なようですが、野良APKファイルをダウンロードするときは、偽サイトでないことを厳重に確認する必要があるため、金融機関のネットバンキングと同様に、実在証明付のEV証明書(アドレスバーが緑色になるやつ)にすべきだと思います。スマホからだとアドレスバーのドメイン名の確認が面倒でしない人が多いので、スマホ向けだとPC向けよりもEV証明書の必要性が高いはず。アドレスバーが緑色になれば、ユーザーが偽サイトに騙されにくくなるという明確な効果があります(フィッシング詐欺サイトがEV証明書の発行審査に通ったというケースは皆無です)。
金額的には普通の証明書の10倍以上しますが、それでも EV証明書は 年49,500円 (+税) あれば買える [sakura.ad.jp] ので、イベント開いてPRする予算がある規模の事業であれば、ケチらず買うべきだと思います。楽天は、安全に年5万円もかけられないんですか? 税抜価格にしたのと(+税)の文字が小さいのは楽天への当てつけです)
今、再確認したところ、現時点では「rapps.apk」のダウンロードURLが、TLS(https)になっていました。
楽天社員も、ここ見てくれていたのかな?
> と、1ページ読み込むだけで 6.63 MB(71ファイル)の通信が発生する富豪的Web製作を行っているようです。こちらで試すと「1ページ読み込むだけ」ではそうなのですが、次のページ行くとキャッシュされているファイルには通信が発生しませんでした。
(フィッシング詐欺サイトがEV証明書の発行審査に通ったというケースは皆無です)
とはいえ、EVのサイトが改竄されたケースが皆無というのとセットでなければ、真の安心は得られません。
真の安心なんかいらない。だってそれはこの世に存在し得ないものだから。
アプリが署名されていれば、通信経路の信頼性は問題ではない。Windows 10にもP2PでWindows Updateを行うオプションがあって、しかもデフォルト有効ではないか。…って、楽天アプリ市場のアプリは署名されてないのかよ!
儲けることしか考えてない楽天にセキュリティのことを要求しても無理ってもんでしょう。それに楽天の主な客もそんなこと気にしない人達ばかりですから。操作上問題がなければOKと考えてる企業や人がほとんどだと思う。SSL/TLSなんかなくても、ユーザーたちは平気で使いますから。「無料」がすべてにおいて優先されます。「ポイント付与」でさらに盲目になります。これらにおいて、セキュリティは二の次、三の次です。
> 税抜価格にしたのと(+税)の文字が小さいのは楽天への当てつけです)
意味を教えて
楽天のストアで、そういった表記をしているところが結構あるのですよ。
勿論、表記方法はある程度ストア任せなので、そうでないところもあります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
野良APKを http(暗号化無し)でダウンロードさせる危険サイト (スコア:5, 興味深い)
「楽天アプリ市場」の野良APKファイル(rapps.apk)を http(暗号化無し)でダウンロードさせている時点で、セキュリティのことを何も考えていないのがバレバレです。
暗号化無しで配信されていることの確認方法は、下記の通り。
(なお、手動で「http://」の部分を「https://」に書き換えれば、https通信でダウンロード可能なようですが、スマホでわざわざそんなことをする人は、1% も居ないと思います)
ちなみに、楽天アプリ市場 [rakuten.co.jp](TLSで暗号化)のトップページ1ページの容量を見てみると、
と、1ページ読み込むだけで 6.63 MB(71ファイル)の通信が発生する富豪的Web製作を行っているようです。rapps.apk [rakuten.co.jp] が 7.06 MB なので、楽天が http でダウンロードさせている APK ファイルと、Webページ1ページの容量は大差ありません。従って、https(TLS)で APK ファイルを配信すると負荷が高いから http で配信しているという言い訳は成立しません。
あと、楽天アプリ市場のサイト [rakuten.co.jp] が普通のTLS(https)証明書なようですが、野良APKファイルをダウンロードするときは、偽サイトでないことを厳重に確認する必要があるため、金融機関のネットバンキングと同様に、実在証明付のEV証明書(アドレスバーが緑色になるやつ)にすべきだと思います。スマホからだとアドレスバーのドメイン名の確認が面倒でしない人が多いので、スマホ向けだとPC向けよりもEV証明書の必要性が高いはず。アドレスバーが緑色になれば、ユーザーが偽サイトに騙されにくくなるという明確な効果があります(フィッシング詐欺サイトがEV証明書の発行審査に通ったというケースは皆無です)。
金額的には普通の証明書の10倍以上しますが、それでも EV証明書は 年49,500円 (+税) あれば買える [sakura.ad.jp] ので、イベント開いてPRする予算がある規模の事業であれば、ケチらず買うべきだと思います。楽天は、安全に年5万円もかけられないんですか? 税抜価格にしたのと(+税)の文字が小さいのは楽天への当てつけです)
TLS(https)に変更された模様 (スコア:2)
今、再確認したところ、現時点では「rapps.apk」のダウンロードURLが、TLS(https)になっていました。
楽天社員も、ここ見てくれていたのかな?
Re:野良APKを http(暗号化無し)でダウンロードさせる危険サイト (スコア:1)
> と、1ページ読み込むだけで 6.63 MB(71ファイル)の通信が発生する富豪的Web製作を行っているようです。
こちらで試すと「1ページ読み込むだけ」ではそうなのですが、次のページ行くとキャッシュされているファイルには通信が発生しませんでした。
Re: (スコア:0)
とはいえ、EVのサイトが改竄されたケースが皆無というのとセットでなければ、真の安心は得られません。
Re: (スコア:0)
真の安心なんかいらない。
だってそれはこの世に存在し得ないものだから。
Re: (スコア:0)
アプリが署名されていれば、通信経路の信頼性は問題ではない。Windows 10にもP2PでWindows Updateを行うオプションがあって、しかもデフォルト有効ではないか。
…って、楽天アプリ市場のアプリは署名されてないのかよ!
Re: (スコア:0)
儲けることしか考えてない楽天にセキュリティのことを要求しても無理ってもんでしょう。
それに楽天の主な客もそんなこと気にしない人達ばかりですから。
操作上問題がなければOKと考えてる企業や人がほとんどだと思う。SSL/TLSなんかなくても、ユーザーたちは平気で使いますから。
「無料」がすべてにおいて優先されます。「ポイント付与」でさらに盲目になります。
これらにおいて、セキュリティは二の次、三の次です。
Re: (スコア:0)
> 税抜価格にしたのと(+税)の文字が小さいのは楽天への当てつけです)
意味を教えて
Re:野良APKを http(暗号化無し)でダウンロードさせる危険サイト (スコア:2)
楽天のストアで、そういった表記をしているところが結構あるのですよ。
勿論、表記方法はある程度ストア任せなので、そうでないところもあります。