中学受験専門　理科総合研究所　−理総研−

統一入試日を目前にして書く記事でもないんですが、この問題を個別に回答していくのが面倒くせーな〜と管理人が思ってるコトがバレないようにするために、聞かれる前にこっちから書いておこうと考えたのです。

1月10日にUS-CERTが発信した「Vulnerability Note VU#625617」、続いて1月11日にJVNが「緊急」付きで発信した「JVNTA13-010A；Oracle Java 7 に脆弱性」。いずれも、米オラクル社が提供する開発言語、というよりも実行環境であるJava（ジャバ）の最新バージョンJava SE 7及びそれを利用する環境に重大な危険性があると指摘しています。

さて、どうして管理人がこの話題を持ち出したかというと、理総研ユーザーそして訪問者の皆さんに次のことを伝えておきたいが為です。それは、


名前似てますけどね。理総研WebではJavaScriptを多用しており、そもそもJavaScriptが実行できない環境では閲覧ができない仕様を採っています。Javaプラグインは一切必要としないので無効化するのはイーとして、勘違いしてJavaScriptまでオフにしてしまうとアクセスできなくなってしまいますのでご注意下さい。


ここで記事を終わってしまうと尻切れトンボなので、以下は蛇足とは言え今回のJava 7の問題点について書いてみます。回避策としては挙げられるのは以下の2つです。


「Java 6に戻す」という手もありそうですが、同じ脆弱性が以前のバージョンにあるかも知れないって事で現在調査中のようなので止めておきましょう。

今回の問題点は大まかに言うと「サンドボックスの脆さ」です。サンドボックスとは直訳すれば砂場のことで、プログラミングの世界では安全が約束された閉鎖空間というトコロでしょうか。危険をはらむ処理をサンドボックス内で実行し、安全が確認されてから出力、こういったセキュリティモデルを指します。

砂場の壁が脆くて砂が外にもれちゃうよーっという指摘は以前からあり、四半期毎に修正プログラムを提供する事に使命感を燃やしていたオラクルもそれに対応する形で修正版を出したものの、根本的な解決には至らなかった、が実状で、完全修正版が出るよりも先に悪意あるプログラムが複数出現してくるというゼロデイアタックに晒されていました。

クライアントサイドで実行されるJavaアプリケーションにそのような脆さがあると、場合によってはPC内のデータ（砂）が外にもれます。外から変質者が砂場に入ってくる可能性もあります。さすがにこの問題を放置できなくなったのか、いろんな場所でいろんな警告が発せられています。

・US-CERT（母体は米国土安全保障省）
・Internet Storm Center：ブログ：ISC Diary

修正版Java SE 7u11はあくまで「特定の応答があったらPC上で警告を出す機能を追加」しただけであり、現在でも根本的な解決には至っていません。この問題を早く解決しないとJavaそしてオラクルの信頼性は崩れます。そうなるとJavaアプリケーション開発をする企業（主にWeb関連企業）が大ダメージを食らいます。Javaアプリということは、つまり携帯コンテンツ業界にもこの問題が波及するわけです。オラクルのJavaプラットフォームは世界の10億台のPCに、そして30億台の携帯電話に利用されていると言います。


管理人もかつてはJavaを利用した開発を行っていました。今はまったく触れていない為、バージョンアップによる仕様変更を負っていかないとままならない程Javaとは距離をとっています。OSを選ばない実行環境はJavaの強みでありましたが、クライアントサイドの仮想マシンで実行されるJavaアプレットは当時怖いし重いしであまりそそられなかったのです。jad.exeが横行してアプレットの逆コンパイルが容易だったのも問題でした。

管理人がJavaを使っていた90年代後期頃「Socket渡し」という技術があり、Proxyサーバを介しても本当のIPはコレだろ？なんて表示するアプレットを当時運営していたサイトのトップページに設置したりしてました。若かったな〜。

A'n'KingをAndroidやiPhone用に携帯アプリ化しようかと考えた時期が私にもありましたが....どーせJavaも忘れかけてるし、当面先送りです。