■ ブラウザタイプのiPhoneアプリについて
はてブiPhoneアプリでログインしてはいけない を読んで。
もしかしたら開発者じゃない人には UIWebView の事ってあんまり知られてないんじゃないかなあと思ったので書いてみます。
PCとかのソフトでもそうなんでしょうけど、野良ブラウザアプリを使ってる場合は、いま見てるページが本物かどうかを見分ける方法は無いです。
iPhoneアプリの中には URL を入力してウェブページを表示するいわゆるブラウザアプリが多くありますが、ブラウザアプリに限らず、ウェブページを表示する場合は UIWebView というUIコンポーネントを利用してまして、Safari と同じような表示が簡単に出来ます。この UIWebView には単にHTMLページを表示するだけの機能しかなく、表示中のページの URL を画面に表示する機能は存在しません。
なもんで、アプリ内にアドレスバーっぽいものが出てても、それが本当に正しいのかを知る方法がありません。もちろん鍵マークなんて出ません。つまり、野良ブラウザアプリを使って銀行のサイトにログインしようとしたら、偽サイトに繋がってましたって事が、普通に起こります。この辺、実際は単にアプリ提供ベンダーの信頼性の話なもんで、ウェブアクセスに限った話じゃないんですけどね。
はてなブックマークのアプリのようにアクセス先の URL が表示されないのはそれ以前の問題で、当該アプリの利用者を狙って第三者が攻撃することが考えられるので、開発者においては自分の信頼性とは別にアドレスバーは作っておいた方が良いですよ。
まあ iPhoneのサファリ自体もイマイチなもんで SSL の発行者情報とか確認出来ない…ですよね? EV-SSL には対応してるらしくて、そっちは表示されるけど、なんだかなあって思う。
Posted by Kyosuke Takayama at 2010-02-25 (Thu) 12:12 printable version