2012年12月
2012年12月8日(土曜日)
ソフトウェアキーボードが危険になる脆弱性
公開: 2013年9月10日22時35分頃
こんなお話が……「Internet Explorerに新たな脆弱性――マウス・カーソルの動きを監視される恐れ (www.computerworld.jp)」。
この脆弱性が悪用されると、ブラウザ・ウィンドウが最小化されている場合も含めて、マウス・カーソルの動きが監視される恐れがあるとしている。
このことは、パスワードやPIN(暗証番号)が画面上の仮想キーボードでタイプされると、キャプチャされる危険があることを意味すると、Spider.ioは述べている
パスワードのようなものをキーボードから入力するのではなく、画面のクリックで入れさせるようなタイプの画面は危険だということですね。いわゆるソフトウェアキーボードを使わせているサービスは、ちょっと対応を考えた方が良いかもしれません。
そもそも、ソフトウェアキーボードに関しては、個人的に以下のような疑問があります。
- 本当にこれで安全になるといえるのか。特定のキーロガーに有効であることは分かるが、現在においても安全性の向上に有効であると言えるのか
- パスワードを入力しにくくなるため、利用者が短いパスワードを使うことにつながらないか
- アクセシビリティ上の問題があるのではないか
こういったところは議論したいところですね。
- 「ソフトウェアキーボードが危険になる脆弱性」にコメントを書く
2012年12月7日(金曜日)
2万ページのアクセシビリティ試験
公開: 2013年3月13日19時45分頃
WAICの委員長コラム第二弾が出ております……「正しい理解のもとに、入札公告や仕様書の作成を (waic.jp)」。
この入札公告では、入札参加資格として20,000ページ以上のウェブサイトの全ページを対象とした検証業務の実績があることを挙げています。
(~中略~)
そうだとした場合、20,000ページものウェブページを、チェックツールだけでなく人間による判断も含めて検証したことのある事業者が、果たしてどれだけ存在するでしょうか。ウェブアクセシビリティ基盤委員会にも、アクセシビリティ検証業務の実績を有する企業等が参加していますが、おそらく皆無ではないかと思います。
以上、正しい理解のもとに、入札公告や仕様書の作成を より
この件、少し前にFacebookで話題になっていたのですが、2万ページ検証というのはものすごい話です。
2万ページ以上あるサイトは別に珍しくもなく、そういうサイトに対してJIS X 8341-3:2010に基づく試験を実施することもありますが、その場合は一定数のページを選択して試験を実施するのが一般的です。
推奨される選択方法は「JIS X 8341-3:2010 試験実施ガイドライン (waic.jp)」に書かれています。「すべてのウェブページを選択する」という方法も掲げていますが、そこにはこうあります。
a) すべてのウェブページを選択する場合
この方法を用いることができるのは、サイトに含まれるページ数がせいぜい100ページ程度までである。それ以上のページを試験しようとすると、多大な時間とコストを要してしまうと考えられる。
2万ページのサイトに対して「すべてのウェブページを選択する」のは現実的ではないし、推奨もしていないということです。
どうしてこのような要件が入ってしまうのかはよく分かりませんが、要件の作り方に何らか問題があるのかもしれません。
- 前(古い): 2012年11月のえび日記
- 次(新しい): 2013年1月のえび日記
