特定バージョンのJavaを要求していた地方税電子納税サイト、Javaを廃止してActiveXに切り替え 114
ストーリー by hylom
こんなことに 部門より
こんなことに 部門より
あるAnonymous Coward 曰く、
地方税の電子申告を行えるeLTAX 地方税ポータルシステムでは、利用の際に特定のバージョンのJavaランタイムを必要としていたのだが、3月14日よりJava実行環境が不要となったという。Javaランタイムではかねてから脆弱性問題が指摘されていたためこれは素晴らしい……と思いきや、その代わりにActiveXを利用するように変更されたとのこと(eLTAXサイトの設定方法解説ページ、高木浩光@自宅の日記)。以前はセキュリティ対策のため、「利用時に指定のJava実行環境をインストールし、利用が完了したら直ちに最新版をインストールするか実行環境を削除せよ」との指示が出ており、それよりはマシという判断だろうか。
なお、必要要件はWindows Vista SP2、Windows 7 SP1、Windows 8.1およびInternet Explorer 9.0もしくは11.0(64bit版は除く)となっている。最近のWindowsマシンはほぼ64ビット版OSがインストールされているため、32ビットでIEを動作させるよう設定を変更し、拡張保護機能も無効化しなければならない。ちなみにMicrosoftは最新ブラウザのEdgeでActiveXコントロールのサポートを廃止していることからも分かるとおり、ActiveXについては今後のサポートを縮小させる雰囲気である。さらにWindows 8.1のサポートは約7年後(2023年1月10日)までなので、少なくともそこまでにはサイトを刷新しなければならないのだが、どうするのだろうか。
なぜブラウザに拘るのか (スコア:1)
JavaやらActiviXに頼る理由が、ICカードに格納された証明書にアクセスするためだという。
それでも最新のJREを普通にインストールするだけとか、初期設定のまま数回のクリックでActiviXコントロールをインストールするだけ、というなら利用者にとって手軽なブラウザで、というのは理解できる。
しかし、実際には最新のJREをアンインストールし、オラクル開発者登録を行って古いJREをインストール。
初期設定後は古いJREのアンインストールを行う必要があった。
3/14以降のシステムでもインターネットオプションで初期設定よりもセキュリティを緩い方向に変更させる手間を利用者に求めている。
こんな手間をかけさせるくらいなら、Windows用アプリケーションで専用クライアントを配布した方がマシではないのか。
もっとも、こんなシステムを作る業者に「Windowsアプリで専用クライアント作って!」と発注したらIEコンポーネントのeLTAX専用ブラウザを作ってきそうだが。
Re:なぜブラウザに拘るのか (スコア:4, 興味深い)
大抵、省庁のセキュリティポリシーを規定する文書に、アプリケーションのインストールを行わせないことって書いてある。
で、これが上位文書になってるから、各部門の開発担当者レベルではこれに従う以外の選択肢がない。
その迂回策で、ActiveXやJREならアプリケーションじゃないもん(笑)となる。
Re:なぜブラウザに拘るのか (スコア:2, 興味深い)
正解。
「こんな仕様で請けてきちゃったんすか!?」と凍りつくマネージャ。
「本当にこれで行くんですか・・・・・」と怒りに震えるエンジニア達。
「正気じゃねぇ(w」と一笑に付す他チームの奴ら。
「俺、絶対にメンテナやらないっすからね!」と若手。
社内ML大炎上。
官のお仕事で酷いのを掴むとそんな感じ。
Re:なぜブラウザに拘るのか (スコア:1)
「利用しろと五月蠅いんですよ」と嘆くうちの税理士
「あははー」と笑う俺
if the kid?
Re:なぜブラウザに拘るのか (スコア:1)
マカーを無視したほうが速そうだな
Re: (スコア:0)
Windows PCも無視したら瞬速
Re: (スコア:0)
JavaやめてActiveX必須にしたのを見ると、Macは無視してるよね。
Re:なぜブラウザに拘るのか (スコア:1)
シェアからすれば無視して結構でしょう。
Re: (スコア:0)
>もっとも、こんなシステムを作る業者に「Windowsアプリで専用クライアント作って!」と発注したらIEコンポーネントのeLTAX専用ブラウザを作ってきそうだが。
それでも、セキュリティゾーンがイントラネットで動いてくれる分、インターネットゾーンのセキュリティを解除させないと動かない現状よりまだましと言うねw
#開発がうちの会社関わってませんように(下請け零細企業社員)
Re: (スコア:0)
全天球写真/動画のRICOH THETAってちょっと未来だな〜〜と思ってたら、
PC用専用ソフトはAIR製だった罠。
しょっちゅう使うわけでもないので、ほぼ起動ごとにAIRアップデートしてる。
Windows10でもIE11はサポートされていますよ (スコア:1)
>Windows 8.1のサポートは約7年後(2023年1月10日)までなので、
>少なくともそこまでにはサイトを刷新しなければならないのだが、どうするのだろうか。
Windows10でIE11を使えばいいのでは?
Re:Windows10でもIE11はサポートされていますよ (スコア:4, すばらしい洞察)
IE11 がサポートされていても Windows10 がサポートされていないんですが。
パソコンのOSがWindows Vista、Windows 7、Windows 8.1以外です。どうすればよいですか。 [accelatech.com]
Re:Windows10でもIE11はサポートされていますよ (スコア:1)
ここは従来の仕様に倣って
「サイト閲覧時にWindows8.1をインストールし、終わったら削除してください」
という運用で対処すればいい
Re: (スコア:0)
Windows10にはIE11は既にインストールされているので、
そんな方法を使う必要はありませんよ。
デフォルト (スコア:1)
IE11の拡張保護モードはデフォルトで無効になっているはず。64ビット版のWindows 7/8.1でのIEのメインプロセスは64ビットプロセスだが、デフォルト設定の状態ではタブのプロセスが32ビットプロセスになっているため、特に設定を変更する必要はなさそう。一方、32ビット版のiexplore.exeを直接起動しても、メインプロセスは64ビットプロセスになる。Windows 10でもデフォルト設定は同じになっているが、ビルド10240ではWindows 7/8.1と同じ動作、ビルド10586.164は拡張保護機能の設定にかかわらずすべて64ビットプロセスになる模様。
「IE 32ビット」でWeb検索すると64ビット版のWindowsでIEの32ビットを使う方法みたいな記事がヒットするのは、拡張保護モードを有効にしている人が多いのか、デフォルトが変更されたのか、どちらだろう。
Re:デフォルト (スコア:1)
別ACですが、該当KB2907803:Internet Explorer 11 の拡張保護モードを既定で無効にする更新プログラム [microsoft.com]張っておきますね。
該当アップデートは2013年11月に配信されました。
マリーさん曰く (スコア:0)
JavaがダメならActiveXを食べればいいじゃない。
もはやActiveX以下の扱い (スコア:0, フレームのもと)
Java厨の必死アピールも虚しく、まさかの「ActiveXの方がまだマシ」という扱いにまで転落
名実共にJavaはオワコン
Re: (スコア:0, 荒らし)
Jabaは危険なので即刻アンインストールして使用するべきではないのは業界では有名だと思いますが、
Re: (スコア:0)
もしJavaが全部危険だとすると、(VMはOracle製じゃないけど)Javaでアプリを書くのが基本のAndroidは使っちゃダメだし、
Google は情弱企業ということになりますな。
(Android 以外の例として Google App Engine https://cloud.google.com/appengine/docs/java/release-notes [google.com] )
Java applet は使用するべきではないというのなら同意しますが、
Java applet と Java と Jaba の区別がつかないのはアカンでしょ。
Re: (スコア:0)
JABA [jaba.or.jp]を即刻アンインストールして使用しない?
「一生野球しない」宣言ですか?
そんなのが有名ってどこの業界でしょうか?
最新バージョンのJavaに対応させるのがなぜできなかったのか (スコア:0)
代わりにActiveXコンポーネントを新規開発するって…意味がわからんにもほどがある。
Re: (スコア:0)
実は、旧バージョンのセキュリティーホールを突いて、本来出来ないはずのICカードへのアクセスをするシステムだったから。
…ぐらいのハッカーぢからだったらまだしも安心だったかも知れない。
Re: (スコア:0)
まぁ、良くはないけど、現実的な解決策じゃないかなぁ。
Re:最新バージョンのJavaに対応させるのがなぜできなかったのか (スコア:1)
> 比較対象が Javaアプレット版の更新だったら、セキュリティ的にも今後のメンテナンス考えても Active X 新規開発のほうが数倍マシってことでしょう。
Active X も Edge の件で分かるように、Microsoft 的にはリタイヤさせる方針なんだし、
http://takagi-hiromitsu.jp/diary/20070710.html [takagi-hiromitsu.jp]
にあるような、JREを利用した組込みJavaアプリケーションというのがベストなんじゃないかしら。
これならOS Xみたいな他のOSに対応するのも比較的楽だし。
(証明書アクセス部分だけは作りこみになるのかな?)
Active XだとWindowsのみだし、またそのうち作り直しだよね。
Re: (スコア:0)
いや、後方互換用にはIE使ってくれ新機能使いたかったらEdge使ってくれって話で
Microsoft的はIEもActiveXもリタイヤさせる気なんてないよ。
Re: (スコア:0)
UIなしのActiveXコンポーネントは、VBならもちろんのこと、VCでも驚くほど簡単に書けるようになってます
そしてaxの次は、Chrome用のプラグインを作れば良いでしょう
NPAPIサポートはもういいでしょうということで、デスクトップ向けはこれで完了かな?
Re: (スコア:0)
>セキュリティ的にも今後のメンテナンス考えても Active X 新規開発のほうが数倍マシってことでしょう。
セキュリティ的にもメンテナンス的にもダメでしょう。
ActiveXが動くのは実質的にIEだけですが、microsoft自体がIEを終了しようとしています。
後継のEdgeではActivexは非サポート。
ブラウザもプラグインも既に終了、サポートも終了が見えているのを使うのはダメダメでしょう。
まだjavaバージョンチェックだけ外す方が現実的だったんじゃ?
もちろん、activeXやアプレットに依存しない方がいいのは言うまでもありません。
Re: (スコア:0)
> まだjavaバージョンチェックだけ外す方が現実的だったんじゃ?
バージョン違いによる動作確認の予算が出ていないって辺りに0.5票。
Re: (スコア:0)
ちなみに Edge はIEの「後継」ではなく共存ね。
一度も後継だなんて言われてないし、IEを終わらせようとしてるなんて言ってないので。
もちろん外野からは、期待を込めて言われてるけど。
韓国かよ (スコア:0)
韓国ではいまだにActiveXを使ってるって笑ってたけど、まさかの展開だな。しかもあっちはActiveX止めるって言うのに。
ここまで代替案無し (スコア:0)
ではここスラドにいるwindows技術者の方々は「ブラウザからICカードにアクセスできるような仕組みを作って」という依頼をどう解決する?
Re:ここまで代替案無し (スコア:2, 興味深い)
論点がずれてるな。問題点は、セキュリティ啓蒙の第一人者のblog「高木浩光@自宅の日記」の2005年の記事で、
「罪深さ:凶悪」、「必然性:皆無」で、「やってはいけないセキュリティ設定指示Top15」の堂々1に輝いた、
>「署名済みActiveXコントロールのダウンロード」を「有効」に設定しろ
を、「やれ」と指示している点。これは、「ウェブサイトに仕込まれたウィルスを全部自動で実行せよ」という設定に他ならない。
ActiveXを正しくインストールさせて使わせる事自体にはただちに問題はない。
将来性が無いとか、正しく理解させるのが難しくて「ActiveXっていいものなんだ! 次から見かけたら何でもとりあえずインストールしよっと!」とかいう
勘違いに繋がりかねないとか、今更感、間接的な問題を含めて最適解かどうかは怪しいけど。
あるいは、技術的な話に終始していいなら、Javaにちゃんと対応するのでもOK。
時の最新版以外への対応は切っても良いだろうから、最新版での動作確認を続けていく予算だけは計上する。
Re:ここまで代替案無し (スコア:1)
TLSのクライアント証明書認証は使えないの?
昔USBドングルを使ったとき、製造元のアプリで認証を済ませた後は証明書ストアにある秘密鍵付き証明書と同様に扱えたんだけど。
Re: (スコア:0)
ここはSCSKさんを呼んで、Curlについて説明をしてもらうってのは
Re: (スコア:0)
証明書の確認って要するにハッシュ計算でしょ。
emscripten
Re: (スコア:0)
Flashでできますよ。
Edyとかできてるし。
Re: (スコア:0)
eTaxでやってる。
http://www.sony.co.jp/Products/felica/consumer/guide/etax.html#flow [sony.co.jp]
Re: (スコア:0)
いやそいつもブラウザi/fがflash/airだ。
前はアプレットだったと思う。
Re: (スコア:0)
Flashも消えるのは時間の問題だから代替案になってないな。
Re: (スコア:0)
Flashだけは時間の問題とまでは言えない。
なにせChromeとWindows8以降のIEには標準で組み込まれ、速やかなアップデートが出来るようになってしまったから。
プラグイン廃止の流れも組み込みFlashは例外になってる。
別途インストールが必要なJREやActive XよりもWindows8以降に標準で含まれるFlashを使った方がマシだな。
webscoket&localhost (スコア:0)
こういう感じで行けるんじゃなかろうか
1.ICカードリーダーを起動して、適当なポートで接続を待つ
2.websocketでローカルホストの適当なポートにつなぐ
3.認証に必要な情報をwebscoket経由で送る
ぐぐったところ、webscoketはローカルホスト経由でもつなぐことができるので、しばらくの間は大丈夫だと思われる
ただ、この方法だとセキュリティ的な意味で危ないが…
winscoksにフックかければICカードの情報とか取れてしまうし
Re: (スコア:0)
逆だ、ICカード内のプロセッサで動かしたブラウザから納税サイトにアクセスする方法を考えるべきだ
#そもそも秘匿したい情報だからICカード内に格納してあるのに、なぜそれをネット経由でどこかに送らなければならない?
Re: (スコア:0)
会社側の政治的な駆け引きに載せられた省庁が
クソな技術を採用してしまってることが問題であって
技術的な複雑さは相当程度に低いよ
#話がわからないなら見栄はって質問しなくてもいいですよ
Re: (スコア:0)
ChromeアプリとFirefox拡張で良いのに。
Re: (スコア:0)
技術者視点では「前提条件がgdgdなクソ依頼なんて受けねえ」で一致するんじゃないですかね
営業としてはまた別の解があるんでしょうけど
Re: (スコア:0)
a.このXXXX.exeのリンクをクリックして出てきた「実行」ボタンを押してください
そこからプログラムが実行されますので、接続したICカードの情報が読み取れます
マジで、イントラネット専用ならそうしますよ?
b.事前セットアップでカードリーダ用のドライバをインストールしてください。
(WEBサーバとクライアントプログラムと通信して情報を読み取る)
普段の動作はブラウザで行います。
どうしてもJavaアプレットもActiveXもFlashなど、Sandbox系をセキュリティを緩和した状態での使用はだめだけど
クライアント環境にアクセスさせるならこっちですね。現実的じゃないけど。
これは素晴らしい……と思いきや、 (スコア:0)
毎年給与支払報告の作業がめんどくさくて、マイナンバー導入ってことでeLTAXの使用を(ぼんやりと)考えていた。
いや、個人番号記載の郵便物なんで簡易書留とかにする必要があるかもないかも?とか考えると、もしそうした場合の郵便料金も馬鹿にならないし。
で、まさに「これは素晴らしい……と思いきや」という状況。
まさかそんな方向に向かっていたとわ。
Java使用するところは (スコア:0)
利用届出(新規)のみだったので、利用届出提出したらActiveX削除&IE設定初期化する、
というのがとりあえずの対策かしら。
Re:世代間ギャップ? (スコア:1)
今のIE11はActiveXフィルターって機能が付いてます。
故に指定サイト以外で無効にしていればActiveX関連のネタもFlash広告等も軽減できます。