「ソフトバンク端末がAjaxに対応?」へのコメント

takeru-c (2010年5月22日 10時53分)

タブブラウザ機能も少なくとも816SHにはありました･･･。

naruse (2010年5月23日 0時36分)

811SHや830SHではたまたま動きますが、それらは「仕様」としてサポートされているわけではありません。

944SH 等の SoftBank/2.0 端末で採用される新仕様 (ウェブコンテンツ開発ガイド[ブラウザ機能拡張(500k対応)編]) では仕様としてサポートされるという話です。

えむけい (2010年5月23日 3時9分)

たまたま動くだけで仕様じゃないから攻撃者は悪用しないでくれるし対策不要なわけではないので。

それに、それを言ったらケータイの端末IDって何かの仕様で保証されているのでしたっけ。iモードIDはドコモ自らかんたんログインで使えると広報しつつ安全な使い方が誰にもわからないようですが。

ばけら (2010年5月23日 9時3分)

>811SHや830SHではたまたま動きますが、それらは「仕様」としてサポートされているわけではありません。

　ありがとうございます。なるほど、今までは非公式だったのですね。

　それはそれで怖い。

　実は、今日のWASFで徳丸さんが発表された内容でも、

「端末がひっそりとAjaxに対応した……と思ったら、同じメーカーの次世代の端末では何故かまたひっそりと機能が無くなっていた。何があったのか」

　みたいな話がありました。

　セキュリティに関係してくる機能が、非公式に (全く知らされないうちに) 追加されたり削除されたりするのは、正直ちょっと怖いと思うわけです。

ばけら (2010年5月23日 9時9分)

>たまたま動くだけで仕様じゃないから攻撃者は悪用しないでくれるし対策不要なわけではないので。

　全くおっしゃるとおりで……。

　というわけで本日、WASFカンファレンスにて、その「たまたま動く」XMLHttpRequestの脆弱性が公表されました。

　徳丸さんは「2件公表する予定」と言いつつ結局1件しか公表されなかったので、まあ何というか……いろいろあるのでしょうとしか言えませんが、知らないうちに実装されている、というのはなかなか怖いなと思う次第です。

「水無月ばけらのえび日記 : ソフトバンク端末がAjaxに対応?」についてコメントを書く場合は、以下のフォームに記入してください。