アカウント名:
パスワード:
あまりに無知なコメントばかりなので。
デスクトップアプリは、・実行環境が際限なく多様でありうる・アタックがWebアプリよりはるかに容易なため、セキュリティを維持するためには、極めて高度なレベルの耐タンパー性が要求されるという問題があり、Webアプリと比べて開発ははるかに困難だ。
「幅広い国民が使えなければならない」(=多様な実行環境に対応する必要することが求められる)「きわめて高度なセキュリティが要求される」という2点を現実的なコストで両立させるのは、私に言わせれば、デスクトップアプリではぜったいに不可能だ。政府の判断は間違っていない。
なぜ世の中が猫も杓子もWebに移行したのか考えてみるべき。
君があまりにも無知だということは分かった。ブラウザを使えば安全になるって?それこそ馬鹿馬鹿しい見当違いだよ。
ついでにいうとデスクトップソフトウェアのインストールもマイポータルを動かすために必要だよ。取り扱い説明書を読もう。
Windowsのアプリに対する互換性って、Webと比べても同等以上はあると思うのだけど。Mac限定って話なら分かるけどね。
>アタックがWebアプリよりはるかに容易なためこれは意味わからないな。まずは何を守りたいのかが明示されていないので、想像だが、サーバーを守りたいなら、デスクトップアプリだろうが、Webアプリだろうがセキュリティに差がない。仮に差があるのならデスクトップアプリもHTTPSでサーバーと通信すればいい。
ICチップを守りたいなら、チップ自体に耐ダンパー性があるから、デスクトップアプリでもWebアプリでも関係ない。
タイプミスというより、用語を間違って覚えてる気配がするので糞レス。
「タンパー」(tamper)ね。
エスパーか!確かに間違って覚えてたでござる。ありがとう!
なるほど…作るだけじゃないんやでお前ら、って事っすか。「極めて高度なセキュリティ」を求められ続けるなか、今でも息をしていてWin/Mac両方行けるのはJavaしかないと。
Javaも大方息止まってますので難しいねぇPCが自由度高すぎるのか…
> アタックがWebアプリよりはるかに> きわめて高度なセキュリティ
こんなのはデタラメ。ユーザに渡したものはすべて割られるのだから、ブラウザでもデスクトップでも同じ。セキュリティを壁の厚みだと思っているパワポ屋の考え方。
いつからブラウザプラグインがデスクトップアプリではなくなったの?
>・アタックがWebアプリよりはるかに容易なため、セキュリティを維持するためには、極めて高度なレベルの耐タンパー性が要求されるなぜですか?専用アプリは、機能的には現状のWebブラウザ+Javaアプレットでやっていることと同等のことをやればいいですよね。専用アプリとWebアプリで、アタックのしやすさに大きな差が出るとは思えません。
あまりに無知なコメント
あなたの方が物知りということもないと思うけど…ICカードのドライバまで利用するわけなんだから、既に世の中のブラウザの枠を大きく超えてるんだよ。ユーザーが使い慣れたブラウザを使える、Webの方は少し共通化できるというぐらいが利点で、あとはそれぞれのOS・ミドルウェアのバージョンごとにドライバとの動作検証が同じように必要でしょ。ミドルウェアをきちんと選べば、多様な環境はある程度吸収できる。そこをJavaがいいかというと、それは違うと思う。
結局ユーザー側に肝心な部分のバイナリは落ちてるんだから、耐タンパー性は実行環境がブラウザとJavaであろうが、クライアントアプリを.NET Frameworkや何かで作ろうがほとんど同じこと。サーバー側も堅牢にできていないと意味がない。そもそもユーザー側に脆弱性の見つかりやすいJavaなんぞをインストールさせる、って時点で充分罪深いよ。
Windows は Smart Card API があるから、ドライバを直に見る必要はない。ICカードはそもそも鍵がソフトウェア的に取り出されないものだし、ただカード使って署名するだけなんだから、危険も特にない。
つまり、ブラウザがICカードにアクセスできないのがそもそもオカシイ。
簡単なJPKIプラグインをブラウザ開発元に投げてサポートさせればいいのにな。物理トークンに署名して返させるプロトコルと実装の需要は高いのだから、日本が動くものを普及させればリードするチャンスなのだけどな。少なくともJavaのアップデートの度に壊れるような手間と金のかかるものよりは税金を注ぎ込む価値がある。
日本のPKI担当反応くっそ遅すぎなんで取り込みムリポ(意訳)って、bugzillaで見たような。
マイナポータル担当と部署違うからお互い存在自体しらんと思うけど。
# マイナポータルとかマイクラウドとか、なにこのIT土建フラグ。
しかも「AVAプラグインをイントラネットスペースやローカルでなく、インターネットで有効化しなきゃいけない、それを強要することで他のサイトがJAVAプラグイン使って攻撃が容易に可能になる。
PC自体のセキュリティをぼこぼこに破壊しろっと言っているのに何が耐ダンパー性だか。
anti-tamper のことを「対ダンパー」って書いてる時点で説得力がないと思うんですが。
"「AVAプラグイン"ってなに?と素で思った
病院行け
幅広い国民が使えなければならないというならandoroidoとiOSにも対応して欲しい。andoroidoのついでにLinux全般に対応してくれると嬉しいがそこまでは求めない。
あのドロイド?R2-D2のことかな?対応アプリなんてあったっけ?
セキュリティの面はともかく、確実に動くことを保証しろと言われれば確かにWebアプリに一票かな。99%の環境で動けばいいならWebアプリのメリットはないけど、99.999%…とか100%保証しろ(=動作保証する環境で1件でも動かなかったら改修)だとWebアプリの方が楽だと思う。
散々言われてるけどこのWebアプリを動かすにはJavaのクライアントプログラムが必要で、そのクライアントは環境を少しでも弄るとバージョンと特殊な設定のせいで動かなくなるような代物。そもそもまともな「Webアプリ」ではない。
チェックボックス選択とテキスト入力するだけで、主要処理がサーバ依存のアプリなら、同じくらいかな…と思ったけど、サーバ間にファイヤーウォールや負荷分散装置、プロキシなどの不確定要素が増えるWebアプリの方が、確実に動く可能性が低いか。
なお、ユーザビリティはWebアプリが格段にクソ(の事が多い)
WebアプリはWebブラウザの上でしか動かないからセキュリティが高いって言われてるのにプラグインでローカル環境に穴開けさせられたら意味ないよね
正直配布の手間を考えると、.NETでClickOnce配布すればいいじゃんんと思ってしまう。OSX?そんなシェア10%程度しかない環境なんて無視無視
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
デスクトップアプリの開発コストをわかっていない (スコア:2, おもしろおかしい)
あまりに無知なコメントばかりなので。
デスクトップアプリは、
・実行環境が際限なく多様でありうる
・アタックがWebアプリよりはるかに容易なため、セキュリティを維持するためには、極めて高度なレベルの耐タンパー性が要求される
という問題があり、Webアプリと比べて開発ははるかに困難だ。
「幅広い国民が使えなければならない」(=多様な実行環境に対応する必要することが求められる)
「きわめて高度なセキュリティが要求される」
という2点を現実的なコストで両立させるのは、私に言わせれば、デスクトップアプリではぜったいに不可能だ。
政府の判断は間違っていない。
なぜ世の中が猫も杓子もWebに移行したのか考えてみるべき。
Re:デスクトップアプリの開発コストをわかっていない (スコア:2)
君があまりにも無知だということは分かった。
ブラウザを使えば安全になるって?それこそ馬鹿馬鹿しい見当違いだよ。
Re:デスクトップアプリの開発コストをわかっていない (スコア:2)
ついでにいうとデスクトップソフトウェアのインストールもマイポータルを動かすために必要だよ。
取り扱い説明書を読もう。
Re:デスクトップアプリの開発コストをわかっていない (スコア:1)
Windowsのアプリに対する互換性って、Webと比べても同等以上はあると思うのだけど。
Mac限定って話なら分かるけどね。
>アタックがWebアプリよりはるかに容易なため
これは意味わからないな。
まずは何を守りたいのかが明示されていないので、想像だが、サーバーを守りたいなら、デスクトップアプリだろうが、Webアプリだろうがセキュリティに差がない。
仮に差があるのならデスクトップアプリもHTTPSでサーバーと通信すればいい。
ICチップを守りたいなら、チップ自体に耐ダンパー性があるから、デスクトップアプリでもWebアプリでも関係ない。
Re: (スコア:0)
タイプミスというより、用語を間違って覚えてる気配がするので糞レス。
「タンパー」(tamper)ね。
Re:デスクトップアプリの開発コストをわかっていない (スコア:1)
Re: (スコア:0)
エスパーか!
確かに間違って覚えてたでござる。
ありがとう!
Re: (スコア:0)
なるほど…作るだけじゃないんやでお前ら、って事っすか。
「極めて高度なセキュリティ」を求められ続けるなか、
今でも息をしていてWin/Mac両方行けるのはJavaしかないと。
Javaも大方息止まってますので難しいねぇ
PCが自由度高すぎるのか…
Re: (スコア:0)
> アタックがWebアプリよりはるかに
> きわめて高度なセキュリティ
こんなのはデタラメ。ユーザに渡したものはすべて割られるのだから、ブラウザでもデスクトップでも同じ。セキュリティを壁の厚みだと思っているパワポ屋の考え方。
Re: (スコア:0)
いつからブラウザプラグインがデスクトップアプリではなくなったの?
Re: (スコア:0)
>・アタックがWebアプリよりはるかに容易なため、セキュリティを維持するためには、極めて高度なレベルの耐タンパー性が要求される
なぜですか?
専用アプリは、機能的には現状のWebブラウザ+Javaアプレットでやっていることと同等のことをやればいいですよね。
専用アプリとWebアプリで、アタックのしやすさに大きな差が出るとは思えません。
Re: (スコア:0)
あまりに無知なコメント
Re: (スコア:0)
あなたの方が物知りということもないと思うけど…
ICカードのドライバまで利用するわけなんだから、既に世の中のブラウザの枠を大きく超えてるんだよ。
ユーザーが使い慣れたブラウザを使える、Webの方は少し共通化できるというぐらいが利点で、
あとはそれぞれのOS・ミドルウェアのバージョンごとにドライバとの動作検証が同じように必要でしょ。
ミドルウェアをきちんと選べば、多様な環境はある程度吸収できる。
そこをJavaがいいかというと、それは違うと思う。
結局ユーザー側に肝心な部分のバイナリは落ちてるんだから、耐タンパー性は実行環境がブラウザとJavaであろうが、
クライアントアプリを.NET Frameworkや何かで作ろうがほとんど同じこと。
サーバー側も堅牢にできていないと意味がない。
そもそもユーザー側に脆弱性の見つかりやすいJavaなんぞをインストールさせる、って時点で充分罪深いよ。
Re:デスクトップアプリの開発コストをわかっていない (スコア:2)
Windows は Smart Card API があるから、ドライバを直に見る必要はない。
ICカードはそもそも鍵がソフトウェア的に取り出されないものだし、
ただカード使って署名するだけなんだから、危険も特にない。
つまり、ブラウザがICカードにアクセスできないのがそもそもオカシイ。
Re: (スコア:0)
簡単なJPKIプラグインをブラウザ開発元に投げてサポートさせればいいのにな。
物理トークンに署名して返させるプロトコルと実装の需要は高いのだから、日本が動くものを普及させればリードするチャンスなのだけどな。
少なくともJavaのアップデートの度に壊れるような手間と金のかかるものよりは税金を注ぎ込む価値がある。
Re: (スコア:0)
日本のPKI担当反応くっそ遅すぎなんで取り込みムリポ(意訳)って、bugzillaで見たような。
マイナポータル担当と部署違うからお互い存在自体しらんと思うけど。
# マイナポータルとかマイクラウドとか、なにこのIT土建フラグ。
Re: (スコア:0)
しかも「AVAプラグインをイントラネットスペースやローカルでなく、インターネットで有効化しなきゃいけない、
それを強要することで他のサイトがJAVAプラグイン使って攻撃が容易に可能になる。
PC自体のセキュリティをぼこぼこに破壊しろっと言っているのに何が耐ダンパー性だか。
Re:デスクトップアプリの開発コストをわかっていない (スコア:1)
anti-tamper のことを「対ダンパー」って書いてる時点で説得力がないと思うんですが。
Re: (スコア:0)
"「AVAプラグイン"
ってなに?と素で思った
Re: (スコア:0)
病院行け
Re: (スコア:0)
幅広い国民が使えなければならないというならandoroidoとiOSにも対応して欲しい。
andoroidoのついでにLinux全般に対応してくれると嬉しいがそこまでは求めない。
Re:デスクトップアプリの開発コストをわかっていない (スコア:2)
あのドロイド?R2-D2のことかな?対応アプリなんてあったっけ?
Re: (スコア:0)
セキュリティの面はともかく、確実に動くことを保証しろと言われれば確かにWebアプリに一票かな。
99%の環境で動けばいいならWebアプリのメリットはないけど、99.999%…とか100%保証しろ(=動作保証する環境で1件でも動かなかったら改修)だとWebアプリの方が楽だと思う。
Re: (スコア:0)
散々言われてるけどこのWebアプリを動かすにはJavaのクライアントプログラムが必要で、そのクライアントは環境を
少しでも弄るとバージョンと特殊な設定のせいで動かなくなるような代物。そもそもまともな「Webアプリ」ではない。
Re: (スコア:0)
チェックボックス選択とテキスト入力するだけで、主要処理がサーバ依存のアプリなら、同じくらいかな…
と思ったけど、サーバ間にファイヤーウォールや負荷分散装置、プロキシなどの不確定要素が増えるWebアプリの方が、確実に動く可能性が低いか。
なお、ユーザビリティはWebアプリが格段にクソ(の事が多い)
Re: (スコア:0)
WebアプリはWebブラウザの上でしか動かないからセキュリティが高いって言われてるのに
プラグインでローカル環境に穴開けさせられたら意味ないよね
Re: (スコア:0)
正直配布の手間を考えると、.NETでClickOnce配布すればいいじゃんんと思ってしまう。
OSX?そんなシェア10%程度しかない環境なんて無視無視