中学受験専門　理科総合研究所　−理総研−

上の動画は、この問題の検証の為に使わせていただいたもので、記事内容とはまったく関係ありません。

GoogleさんチのChromeさんがversion26.0となりました。これを使ってブラウジングしていてあることに気が付きました。動画投稿サイトの動画を埋め込みコード（iframe）で扱っているサイトで、その動画が再生できない、ってことを。

原因はいつものアレか...と思い、いくつかの動画投稿サイトの埋め込みコードをテストしてみました。

おそらく私と同じように動画が再生できない、となった方は、かつて一度、というメッセージに嫌気が指して、プラグインの設定（chrome://plugins/）において「Adobe Flash Player」項目のPPAPIを無効にした経緯がある方だと思います。つまり、この問題の答えはそこにあるのです。

NPAPIのみ有効にすることによって今まで快適なブラウジングだったぜ！な方にとっては青天の霹靂とも言えるこの現象は、調べてみたほぼすべての動画投稿サイトの埋め込みコードで発生します。

って言ってもYouTube、Vimeo、LiveLeak、Prochanでしか調べてませんけど、さすがGoogleというか、身内のYouTube以外はすべて再生できませんでした。ただそこに動画のサムネイルと各種ボタンがあるだけで、クリックしても何ともならない無反応っぷり。。もっともVimeoに関しては、なぜかHDボタン付近をクリックすると再生・停止が可能です。

サムネイルを右クリックしたときに出てくるコンテキストメニューは正常稼働時と同じものですが、これもなぜか、思っていた場所とは違うところに表示されるというとんがり方をしてくれます。

じゃーってことでプラグインの設定（chrome://plugins/）にアクセスしてNPAPIを無効、PPAPIを有効にすると、上記すべてのサイトの埋め込み動画をきっちり再生できます。しかし、PPAPIでココは弱いな〜と思っていた、全画面での動画再生時のもたつきは改善されていないままに見受けられます。何なのよこのアップデート。

PPAPIもNPAPIも両方有効にする、というダブルスタンダードは、埋め込み動画のみならず他のすべてのフラッシュコンテンツに影響が出そうなので、速度を気にする方にはオススメできません。埋め込み動画の再生はできますが、全画面でのもたつきはPPAPIを引きずってます。

さてさて、PPAPIもNPAPIも両方とも無効にする、これをやるとどうなるか。「埋め込み動画を再生しようとするとプラグインを要求するメッセージが表示されるんかな〜」と思うわけですが、どっこい大抵のモダンブラウザでは余裕で埋め込み動画を再生してきます。

両方無効設定の方がNPAPIだけを有効にしてるよりも優秀やん！とは思ったものの、埋め込み動画以外のフラッシュコンテンツは動きませんのでご注意を。

そう、知ってる方に対しては釈迦に説法となりますが、ストリーミング動画を再生できるのは何もFLASHプライヤーだけではありません。モダンブラウザはHTML5への対応を進めており、このHTML5の技術を使ったプレイヤーが標準化されつつあります。話題が変わってしまうので、詳しいことは http://www.youtube.com/html5 でも読んでみて下さい。


要するに、どの投稿サイトでもとにかく動画を見たければPPAPIにしろと。あるいは完全にFLASHを断ち切る気持ちで（少なくともスマートフォンではFLASHの道は途絶えてるわけですし）HTML5プレイヤーに移行しろと。そういうわけですか。

って、イーのかな〜そんなオチで。

統一入試日を目前にして書く記事でもないんですが、この問題を個別に回答していくのが面倒くせーな〜と管理人が思ってるコトがバレないようにするために、聞かれる前にこっちから書いておこうと考えたのです。

1月10日にUS-CERTが発信した「Vulnerability Note VU#625617」、続いて1月11日にJVNが「緊急」付きで発信した「JVNTA13-010A；Oracle Java 7 に脆弱性」。いずれも、米オラクル社が提供する開発言語、というよりも実行環境であるJava（ジャバ）の最新バージョンJava SE 7及びそれを利用する環境に重大な危険性があると指摘しています。

さて、どうして管理人がこの話題を持ち出したかというと、理総研ユーザーそして訪問者の皆さんに次のことを伝えておきたいが為です。それは、


名前似てますけどね。理総研WebではJavaScriptを多用しており、そもそもJavaScriptが実行できない環境では閲覧ができない仕様を採っています。Javaプラグインは一切必要としないので無効化するのはイーとして、勘違いしてJavaScriptまでオフにしてしまうとアクセスできなくなってしまいますのでご注意下さい。


ここで記事を終わってしまうと尻切れトンボなので、以下は蛇足とは言え今回のJava 7の問題点について書いてみます。回避策としては挙げられるのは以下の2つです。


「Java 6に戻す」という手もありそうですが、同じ脆弱性が以前のバージョンにあるかも知れないって事で現在調査中のようなので止めておきましょう。

今回の問題点は大まかに言うと「サンドボックスの脆さ」です。サンドボックスとは直訳すれば砂場のことで、プログラミングの世界では安全が約束された閉鎖空間というトコロでしょうか。危険をはらむ処理をサンドボックス内で実行し、安全が確認されてから出力、こういったセキュリティモデルを指します。

砂場の壁が脆くて砂が外にもれちゃうよーっという指摘は以前からあり、四半期毎に修正プログラムを提供する事に使命感を燃やしていたオラクルもそれに対応する形で修正版を出したものの、根本的な解決には至らなかった、が実状で、完全修正版が出るよりも先に悪意あるプログラムが複数出現してくるというゼロデイアタックに晒されていました。

クライアントサイドで実行されるJavaアプリケーションにそのような脆さがあると、場合によってはPC内のデータ（砂）が外にもれます。外から変質者が砂場に入ってくる可能性もあります。さすがにこの問題を放置できなくなったのか、いろんな場所でいろんな警告が発せられています。

・US-CERT（母体は米国土安全保障省）
・Internet Storm Center：ブログ：ISC Diary

修正版Java SE 7u11はあくまで「特定の応答があったらPC上で警告を出す機能を追加」しただけであり、現在でも根本的な解決には至っていません。この問題を早く解決しないとJavaそしてオラクルの信頼性は崩れます。そうなるとJavaアプリケーション開発をする企業（主にWeb関連企業）が大ダメージを食らいます。Javaアプリということは、つまり携帯コンテンツ業界にもこの問題が波及するわけです。オラクルのJavaプラットフォームは世界の10億台のPCに、そして30億台の携帯電話に利用されていると言います。


管理人もかつてはJavaを利用した開発を行っていました。今はまったく触れていない為、バージョンアップによる仕様変更を負っていかないとままならない程Javaとは距離をとっています。OSを選ばない実行環境はJavaの強みでありましたが、クライアントサイドの仮想マシンで実行されるJavaアプレットは当時怖いし重いしであまりそそられなかったのです。jad.exeが横行してアプレットの逆コンパイルが容易だったのも問題でした。

管理人がJavaを使っていた90年代後期頃「Socket渡し」という技術があり、Proxyサーバを介しても本当のIPはコレだろ？なんて表示するアプレットを当時運営していたサイトのトップページに設置したりしてました。若かったな〜。

A'n'KingをAndroidやiPhone用に携帯アプリ化しようかと考えた時期が私にもありましたが....どーせJavaも忘れかけてるし、当面先送りです。

サイト管理者がアクセス統計をスッキリとるための最も簡易で最善の方法であり、今となってはもう手放すことなど考えられない「browscap.ini」。

それはまるで長年使い続けた腕時計であるとか、いつも手の届く場所に鎮座するコカ・コーラであるとか、そこにあるのが当然過ぎて重要性の認識や感謝の気持ちが薄れてしまうアイテムの1つであったかも知れない。

理総研では、Browser Capabilities Projectにおいてbrowscap.ini（正確にはlite_php_browscap.ini）が更新されても、新しいファイルをダウンロードして古いファイルと置換するシステムが自動化されています。んが、どうも最近その応答が怪しいと思ってプロジェクトのサイトにアクセスしてみたら....


つまりプロジェクトが閉鎖しているわけですよ。一時的に閉鎖とかそういった類のモノではないらしく、今まで管理・運営していたGary Keith氏がプロジェクトに突如終止符を打った感じでしょうか。もちろんそれは無責任とかではなく、氏の好意に我々が乗っかっていただけのこと。氏の功績は称えるにふさわしいのです。

ただフォーラムの記事を読む限りでは、このプロジェクトが円滑に継承されなかったのでこのような事態になっているようです。

現在はGoogle Groupの「browscap」においてRAD Moose氏を中心にリニューアルに向けた動きがあります。一応フォーラムには参加したものの管理人には何もできないかもしれませんが、こういった方々の尽力があってこそのWeb技術なのだというコトを肝に銘じ、感謝の気持ちを忘れないようにしたいです。

もし最新版のbrowscap.iniをお探しでしたら、サルベージされたファイルが次のページに一時的に保管されていますのでどーぞ。

→http://tempdownloads.browserscap.com/

サイト構築中にChromeでGoogle Map API V3を動かしていて、ふとJavascriptコンソールを見たら、

PPB_Graphics2D.PaintImageData: Rectangle is outside bounds.

というエラーを発見。だからと言ってGoogle Mapが利用できていないかというとそんなコトもなく、動作自体はこっちの意図通り。結論から言えば、モノによってはこのエラーのせいで動かないプログラムも出てきそう。

直訳すれば「領域が範囲外」なこのエラー表示を「何でやろな〜」と眺めているとにわかにエラー数がカウントアップしていくという...初めて見る現象に、どこぞのスーパーサイヤ人の如くオラわくわくしてきたぞ、となって色々調べました。

国内には報告がなかったので海外のサイトを漁っていると、キーワードとして出てきたのがFLASHでした。あとこの現象はChromeがver.22になってからだとか。あぁ、またか...。たぶんver.21からでも起こってたんでしょうね。

解決方法は本家Googleにもどこにも見当たらなかった（っていうほど本気で調べてませんが）ので、既視感を覚えつつ、例のあの操作をすると解決しました。

今回のこの「PPB_Graphics2D.PaintImageData: Rectangle is outside bounds.」は、Google MapとFLASHが混在するページにおいて、そのオブジェクト描画に何らかの競合が発生して起こります。それを証拠にFLASHをオフにすればエラー表示が無くなります。そこで「この現象がChromeでしか起こらない」という報告から考えるに、やはり原因は、

これだ、1、2、3 → 「 PPAPI 」　またお前か。

Chrome ver.21から導入されたFLASHの拡張プラグインアーキテクチャであるPPAPI、これが有効になっている場合に今回のエラーが出ます。無効にする操作方法は過去の記事「［解決］ Shockwave Flash has crashed.」をご覧下さい。

とにかくPPAPIが安定するまでは、PPAPI単独とかPPAPIと従来のNPAPIの混在とかではなく、NPAPI単独でFLASHを動かしておいた方が安定感が強いです。

ブログカテゴリー［我思う故にWareあり］の前回の記事で、FLASHを使用したサイトをChrome version21.0で閲覧していると今までのバージョンに比べて重いなぁ〜と感じたり、タブをたくさん開いていくと

『Shockwave Flash has crashed.』
『プラグイン「Shockwave Flash」は応答していません。』

などといったエラーが発生し、他のタブまで真っ白けで閲覧すらできなくなる現象について書きました。

理総研Webに訪れる検索ワードを逆引きしてみたら、結構な訪問が件のブログ記事にあり、同じように苦しんでいる方々が多いんだな〜と知って個人的にさらに調査を進めていました。

前回の記事に書いたとおり、Chromeはversion21.0からはFLASHの新しい拡張プラグインアーキテクチャであるPPAPIを採用しています。従来のNPAPIとは相容れない仕様であるにも関わらず、このPPAPIとNPAPIが混在している状況では、そりゃFLASHも動きづらいわな....という感想です。「Ｍ先生は○○しろって言うしＫ先生は△△しろって言うし、もーどーしたらイーのよ！」って感じでしょうか。


この問題を簡単に解決するにはChromeのプラグイン設定を変更するだけでOKです。

1. Chromeの右上の方の「スパナのマーク」（Google Chromeの設定）をクリック
   （追記：ver.22から三本線のマークに）


2. 開いたメニューの「設定」をクリック


3. 設定タブが開くので、一番下の「詳細設定を表示...」をクリック


4. 新たに出てきた画面から「プライバシー」の項目を探し、そこにある「コンテンツの設定...」をクリック


5. 新しくコンテンツの設定画面が開くので、そこの「プラグイン」の項目の「プラグインを個別に無効にする...」をクリック


6. インストールされているプラグインが一覧で出てきますが、FLASHを探す前に右上にある「＋詳細」をクリック


7. たぶんどこかに「Flash (3 files) - バージョン: 11.3.31.232」みたいなものあるので、この記事の画像みたいに１個だけ有効にして他をすべて無効に。


8. Chromeを１回閉じて、再び立ち上げる

たぶんこれで、あの頃の快適なChromeが帰ってきます。手順7の画像ではあえてNPAPIを残していますが、混在していない状況を作り出せるならPPAPIだけを有効にする、でもOKでしょう。


すでにある機能を「無効」にするという行為が根本的な解決になるとは思えませんし、んじゃなんでPPAPIを組み込むときにNPAPIを無効あるいは解放しなかったのか、またはその選択をユーザーに委ねなかったのか、とか思う次第です。