Signed-Appletをどういった基準で信頼するか
セキュリティーというよりも雑談です。
2月くらいにSigned-Appletを使ったウェブ部品を作っていました。今でも微妙に作っているのですが、それはいいとして、このSigned-Appletというのがなかなか面白いもので、Javaによる通常のセキュリティー制限を受けずにAppletを実行できます。
もちろん『実行しますか?』的な警告はでますが、これが次のような画面です。
詳細情報↓
結構安心できそうじゃないです? 「信頼できるソースによるデジタル署名の検証に成功しました」「Thawte Freemail Memberはこの内容が安全であることを表明します」「このセキュリティ証明書は、信頼のできる団体によって発行されています。」「このセキュリティ証明書は期限が切れておらず、依然として有効です。」でインフォアイコンだし、Javaも「実行しても大丈夫だから早く実行しろー」と言いたげです。しかも「この発行者からのコンテンツを常に信用します」にチェックが入っているので、一度実行すると、次から許可ダイアログなく実行されるようになります。一般の人はつい実行を押してしまうと思いませんか。僕でもなんらかそのページを見る目的があって、どうもこれを実行しないとそれが見れないようなら気軽に実行しそうです。
でもこれかなり危ない可能性があります。この証明書はネットカフェに行ってフリーメールを使って無料で10分で取れるものだからです。CAは信頼できますが、署名している人が信用できません。だれでも自分の作ったJavaプログラムに好き勝手に署名できます。
仮に僕が悪い人ならWinnyプロトコルの知識を利用して実行したとたんに全ドライブをWinnyネットワークに流出させるプログラムを作って、適当に確保したウェブサーバーに次々にコピペしていき、ウェブページを開いただけで流出事件を発生させまくるかもしれません。そんな危険なものがこんな大丈夫そうなメッセージで実行されるのだから結構怖いと思うんです。
ただ署名した人のメールアドレスやドメインをよく確認してから実行すればいいとは思うのですが、そこまでたどり着くまでが長いので、初心者には難しいんじゃないかなぁという、話でした。
例
怪しくないページ
なんとウェブページを開いて『実行』してしまい、『録音ボタン』をついうっかり押してしまうと、マイクがハッキングされて環境音が録音されます。しかも誇らしげに再生までされてしまいます! それだけですが。
本題
少しずつですが、この仕組みを使ってなにかやってみようと思います。
でも、JavaAppletは起動が重いーという嫌な点があります。
Signed-Applet
じゃあどうしたらいいのかというと、たぶんこのままでよくて、自分の中の『ウェブページからアプリが実行されるのがそもそも怖い!』という先入観が間違いなのか。
システムに標準でインストールされている信頼できるCAリストの中に、無料で誰でも証明書を取れるところがあるのが気になるけれど、それは保障しなければいけない部分ではないよね。たぶん。
個人的には気軽にSigned-Appletが作れて嬉しいけれど、利用者側になると怖いみたいな。
ここについて
最近ここに書きにくくなっていて、なぜ自分の日記帳を書くのにビビっているのかという謎があります。なにもしていないのにmixi疲れみたいな。前に掲示板がイイと言っていたのも、そのあたりの心境からきています。ちょっとしたことがあっても「いや、わざわざ書くことでもない」なんて考えになっている感じです。その代わり『はてブ』では無駄にえらそうにごちゃごちゃ書いていたり。
たぶん自分で書いている内容が偏ってきているのと他の人を意識しているからアレなんで、ついに方針を打ち出したいと思います。
- 調べ物をしている人がGoogle検索から偶然訪れて、とりあえず有用な情報だけゲットしてもう二度と来ないようなページ
調べて分かったことなんかをひたすら書いていきます。わたしは一日の3分の1はググっているような気がするググりストなので、なんとなくググるキーワードとかも予想ができます。
- 作っているものや、していることがあればそのことをひたすら書く宣伝ページ
実際作らなかったり、途中でこれはダメだと思ってやめることが多いから、完成間近かマジでやる気があるもののことしか書いていないのですが(それでもやめるふしぎ!)、もうなんでも書きます。
- 疑問に思ったことをメモっておく
詳しくて親切な人や過去に同じ疑問を抱えてすでに解決済みの人が『通りすがり』などの名前で回答してくれることを期待します。
doxygenでUTF-8を使う
少し前までのdoxygenでは『OUTPUT_LANGUAGE=Japanese』に設定にして、ドキュメントのナビゲーションリンクを日本語化するとナビゲーションリンクの文字コードがUTF-8にできなかったので、ソースコードのコメントもナビゲーションリンクの文字コードに従わないと文字化けしていました。
2007年4月にリリースされたDoxygen 1.5.2では、『USE_WINDOWS_ENCODING 』が削除されて、『DOXYFILE_ENCODING』と『INPUT_ENCODING』いう設定項目が追加されました。出力文字コードと入力文字コードが指定できるようになっています。この変換はlibiconvが行っているので、UTF-8もサポートされています。
不具合?
dotを有効化してGROUP_GRAPHSを書くと画像内の日本語が化けています。dotはUTF-8で日本語が書けるので、たぶんdotファイルに指定しているフォントが日本語フォントではないのだと思います。
どこかで指定できる?
doxygenのHTMLドキュメントでフッター(footer)とヘッダー(header)を指定する
doxygenが生成するHTMLドキュメントにプロジェクトのURLやGoogle AdSenseなどのアフィリエイトを含めたい場合には、ドキュメントのヘッダーとフッターを指定してその中に記述します。
フッターファイルとヘッダーファイルは、Doxyfileの『HTML_HEADER』『HTML_FOOTER』それぞれにファイルのパスを指定します。
HTML_FOOTER
HTML_FOOTERで指定するファイルには〜