Linux/CGP作業メモ

■au IS03 KDDIデザイニングスタジオ版 検証追加レビュー

【11/10追記】IS03の最新レビューはこちら
　au IS03 更新ビルド２種 レビュー
　http://blog.isnext.net/issy/archives/482

　先のIS03レビューが「標準ブラウザが3G接続で端末識別情報を送信する」という点について2chやTwitterで注目されたため、これは自身できっちり真贋を確かめねばと思い、本日KDDIデザイニングスタジオにお伺いして「端末識別情報の送信」について検証と確認を行ってきました。結果から先に書いておきます。

　「標準ブラウザが3G接続で端末識別情報を送信する」は間違いです。
　　ガセネタを流してしまうことになり、大変申し訳ありませんでした。
　　先のレビューは本日確認の内容に合わせて一部訂正いたします。

先のレビューはこちら
http://blog.isnext.net/issy/archives/406

■検証内容
　ここのblogサーバにhttpヘッダのlog出力が出来るプログラムを設定し、3G接続のIS03からアクセスしてヘッダ情報を確認する。また簡単ログインができるプログラムを用意し、簡単ログインを試みる。実際に使用したのは、ヘッダ出力にはCommuniGate ProをHTTPU接続のログを全情報に設定して確認、簡単ログインにはMyNETSというSNSプログラムの設定で携帯版でUser-Agentのチェックをするかどうかをfalseに設定して確認しました。デザイニングスタジオのIS03はCEATECで展示されたものと同一のファームでAndroidのバージョンは2.1-update1、カーネル 2.6.29-perf nbproj@TG721404#1、ビルド番号 D9156 でした。

　ヘッダのチェック内容は以下の通りです。一部マスクしています。設定の都合上proxy経由のため通常のヘッダとは少し出力内容が異なります。

□WiFi接続時ヘッダ（IP：222.226.221.xxx）
[code]GET / HTTP/1.1
Host: localhost:xxxx
Accept-Encoding: gzip
Accept-Language: ja-JP, en-US
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
User-Agent: Mozilla/5.0 (Linux; U; Android 2.1-update1; ja-jp; sdk Build/ECLAIR) AppleWebKit/530.17 (KHTML, like Gecko) Version/4.0 Mobile Safari/530.17
Accept-Charset: utf-8, iso-8859-1, utf-16, *;q=0.7
X-Forwarded-For: 222.226.221.xxx
X-Forwarded-Host: xxxx.isnext.net
X-Forwarded-Server: xxxx.isnext.net
Connection: Keep-Alive[/code]

　IP whois 情報
　inetnum: 222.226.221.0 – 222.226.221.255
　netname: KDDI-NET
　descr: DION (KDDI CORPORATION)

□3G接続時ヘッダ（IP：111.238.16.xx）
[code]GET / HTTP/1.1
Host: localhost:xxxx
Accept-Encoding: gzip
Accept-Language: ja-JP, en-US
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
User-Agent: Mozilla/5.0 (Linux; U; Android 2.1-update1; ja-jp; sdk Build/ECLAIR) AppleWebKit/530.17 (KHTML, like Gecko) Version/4.0 Mobile Safari/530.17
Accept-Charset: utf-8, iso-8859-1, utf-16, *;q=0.7
X-Forwarded-For: 111.238.16.xx
X-Forwarded-Host: xxxx.isnext.net
X-Forwarded-Server: xxxx.isnext.net
Connection: Keep-Alive[/code]

　IP whois 情報
　inetnum: 111.238.16.0 – 111.238.16.255
　netname: KDDI-NET
　descr: KDDI CORPORATION

　結果はWiFiでも3Gでも同じ内容が送信されていました。当然ながら端末識別情報がないので、簡単ログインは成立しません。3Gアクセスの際のIPアドレスは２つ確認していますが（111.238.16.xxと111.239.220.xx）、どちらも現在及び追加予定のEZサーバのIPアドレスには含まれていませんでした。

　EZサーバのIPアドレス帯域
　http://www.au.kddi.com/ezfactory/tec/spec/ezsava_ip.html

■auの説明員さんに聞いてみた
　上記のことから少なくともIS03においては「標準ブラウザが3G接続で端末識別情報を送信する」は正しくないことが推測されます。そこで、デザイニングスタジオの説明員さんに直接お話を伺ってみたところ、以下のような回答でした（要約しています）。

　私）携帯サイトにアクセスして簡単ログインできると聞いたんですが本当ですか？
　説）どちらでその情報を聞かれましたか？
　私）CEATECで説明員の方から伺いました。
　説）情報が錯綜してしまったようですいません、簡単ログインはできません。
　私）確かに端末識別情報出てないですよね？（ログ見せながら）
　説）はい、現在のところ端末識別情報は出していません。
　私）じゃあ携帯サイトで簡単ログインできるというのは間違いですね？
　説）はい、現時点ではそうなります。ただ最終版でどうなるかはわかりません。

　えーと…少なくとも展示しているバージョンではできないことは間違いないようなのですが、ファームが最終版（リリース版？）ではないこと、最終版ではどうなるかわからないことを強く念押しされてしまいました。

　CEATECでその情報を話してくださったのはSHARPの説明員さんだったので、もしかして対応したバージョンも存在していたりするのでしょうか？そしてリリースまでに判断次第で端末識別情報が付いたりする可能性があるということなのでしょうか？若干の疑問を残しつつ15分の制限時間が来てしまったので、その場を立ち去ることにしました。

　今回端末識別情報ともうひとつ、au-one ID設定についても確認してきました。こちらも上記の内容の通り端末識別情報はIS03から出ていませんし、それとは一切関わりが無くあくまでau-oneサービスを利用するアカウントでしかないということで、変更が可能なことは端末識別情報のセキュリティとは無縁でした。au-one IDで利用可能なサイトは端末識別情報がなくても利用可能ということです。混同した内容を書いてしまい、申し訳ありませんでした。自分自身が耳を疑ったことは、やはりちゃんと確認が取れるまで慎重に扱うべきだったと改めて反省しています。お騒がせして申し訳ありませんでした。