アカウント名:
パスワード:
あまりに無知なコメントばかりなので。
デスクトップアプリは、・実行環境が際限なく多様でありうる・アタックがWebアプリよりはるかに容易なため、セキュリティを維持するためには、極めて高度なレベルの耐タンパー性が要求されるという問題があり、Webアプリと比べて開発ははるかに困難だ。
「幅広い国民が使えなければならない」(=多様な実行環境に対応する必要することが求められる)「きわめて高度なセキュリティが要求される」という2点を現実的なコストで両立させるのは、私に言わせれば、デスクトップアプリではぜったいに不可能だ。政府の判断は間違っていない。
なぜ世の中が猫も杓子もWebに移行したのか考えてみるべき。
あなたの方が物知りということもないと思うけど…ICカードのドライバまで利用するわけなんだから、既に世の中のブラウザの枠を大きく超えてるんだよ。ユーザーが使い慣れたブラウザを使える、Webの方は少し共通化できるというぐらいが利点で、あとはそれぞれのOS・ミドルウェアのバージョンごとにドライバとの動作検証が同じように必要でしょ。ミドルウェアをきちんと選べば、多様な環境はある程度吸収できる。そこをJavaがいいかというと、それは違うと思う。
結局ユーザー側に肝心な部分のバイナリは落ちてるんだから、耐タンパー性は実行環境がブラウザとJavaであろうが、クライアントアプリを.NET Frameworkや何かで作ろうがほとんど同じこと。サーバー側も堅牢にできていないと意味がない。そもそもユーザー側に脆弱性の見つかりやすいJavaなんぞをインストールさせる、って時点で充分罪深いよ。
Windows は Smart Card API があるから、ドライバを直に見る必要はない。ICカードはそもそも鍵がソフトウェア的に取り出されないものだし、ただカード使って署名するだけなんだから、危険も特にない。
つまり、ブラウザがICカードにアクセスできないのがそもそもオカシイ。
簡単なJPKIプラグインをブラウザ開発元に投げてサポートさせればいいのにな。物理トークンに署名して返させるプロトコルと実装の需要は高いのだから、日本が動くものを普及させればリードするチャンスなのだけどな。少なくともJavaのアップデートの度に壊れるような手間と金のかかるものよりは税金を注ぎ込む価値がある。
日本のPKI担当反応くっそ遅すぎなんで取り込みムリポ(意訳)って、bugzillaで見たような。
マイナポータル担当と部署違うからお互い存在自体しらんと思うけど。
# マイナポータルとかマイクラウドとか、なにこのIT土建フラグ。
しかも「AVAプラグインをイントラネットスペースやローカルでなく、インターネットで有効化しなきゃいけない、それを強要することで他のサイトがJAVAプラグイン使って攻撃が容易に可能になる。
PC自体のセキュリティをぼこぼこに破壊しろっと言っているのに何が耐ダンパー性だか。
anti-tamper のことを「対ダンパー」って書いてる時点で説得力がないと思うんですが。
"「AVAプラグイン"ってなに?と素で思った
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
デスクトップアプリの開発コストをわかっていない (スコア:2, おもしろおかしい)
あまりに無知なコメントばかりなので。
デスクトップアプリは、
・実行環境が際限なく多様でありうる
・アタックがWebアプリよりはるかに容易なため、セキュリティを維持するためには、極めて高度なレベルの耐タンパー性が要求される
という問題があり、Webアプリと比べて開発ははるかに困難だ。
「幅広い国民が使えなければならない」(=多様な実行環境に対応する必要することが求められる)
「きわめて高度なセキュリティが要求される」
という2点を現実的なコストで両立させるのは、私に言わせれば、デスクトップアプリではぜったいに不可能だ。
政府の判断は間違っていない。
なぜ世の中が猫も杓子もWebに移行したのか考えてみるべき。
Re:デスクトップアプリの開発コストをわかっていない (スコア:0)
あなたの方が物知りということもないと思うけど…
ICカードのドライバまで利用するわけなんだから、既に世の中のブラウザの枠を大きく超えてるんだよ。
ユーザーが使い慣れたブラウザを使える、Webの方は少し共通化できるというぐらいが利点で、
あとはそれぞれのOS・ミドルウェアのバージョンごとにドライバとの動作検証が同じように必要でしょ。
ミドルウェアをきちんと選べば、多様な環境はある程度吸収できる。
そこをJavaがいいかというと、それは違うと思う。
結局ユーザー側に肝心な部分のバイナリは落ちてるんだから、耐タンパー性は実行環境がブラウザとJavaであろうが、
クライアントアプリを.NET Frameworkや何かで作ろうがほとんど同じこと。
サーバー側も堅牢にできていないと意味がない。
そもそもユーザー側に脆弱性の見つかりやすいJavaなんぞをインストールさせる、って時点で充分罪深いよ。
Re:デスクトップアプリの開発コストをわかっていない (スコア:2)
Windows は Smart Card API があるから、ドライバを直に見る必要はない。
ICカードはそもそも鍵がソフトウェア的に取り出されないものだし、
ただカード使って署名するだけなんだから、危険も特にない。
つまり、ブラウザがICカードにアクセスできないのがそもそもオカシイ。
Re: (スコア:0)
簡単なJPKIプラグインをブラウザ開発元に投げてサポートさせればいいのにな。
物理トークンに署名して返させるプロトコルと実装の需要は高いのだから、日本が動くものを普及させればリードするチャンスなのだけどな。
少なくともJavaのアップデートの度に壊れるような手間と金のかかるものよりは税金を注ぎ込む価値がある。
Re: (スコア:0)
日本のPKI担当反応くっそ遅すぎなんで取り込みムリポ(意訳)って、bugzillaで見たような。
マイナポータル担当と部署違うからお互い存在自体しらんと思うけど。
# マイナポータルとかマイクラウドとか、なにこのIT土建フラグ。
Re: (スコア:0)
しかも「AVAプラグインをイントラネットスペースやローカルでなく、インターネットで有効化しなきゃいけない、
それを強要することで他のサイトがJAVAプラグイン使って攻撃が容易に可能になる。
PC自体のセキュリティをぼこぼこに破壊しろっと言っているのに何が耐ダンパー性だか。
Re:デスクトップアプリの開発コストをわかっていない (スコア:1)
anti-tamper のことを「対ダンパー」って書いてる時点で説得力がないと思うんですが。
Re: (スコア:0)
"「AVAプラグイン"
ってなに?と素で思った