Windows8デザインガイド

デブサミ２０１３に、
昨日（２月１４日）行ってきた。その内容をメモメモ。

今度はWindows8デザインガイド

---

スライドシェアにアップしてある。ＵＲＬはツイートするよ

■Windows8　２０１２年１０月２６日Windows8リリース
　Ｗｅｂ系、デスクトップ系両方
　デザインに影響を与えたトレンド（ブログに書いた）
　　常時接続
　　ファイルからソーシャルへ
　　クラウドストレージ
　　デスクトップからノートへ
　　マウス＆キーボードからタッチへ

■Windows8を指揮した責任者いわく
　　タッチになる
　　タッチでないと壊れていると思われる？

■タッチするのがあたりまえ？
　　・券売機
　　・自動販売機（ＪＲ）
　　・コインロッカー
　　・デジタルサイネージ：電子カンバン→ガイダンス
　→世の中の一般機械もタッチ

■マウスとキーボード
　　なくならない：コーディング

■デザインガイドを読みましょう
　デベロッパーセンターに載っている
　　　Windows　開発　でぐぐる
　　　　Windowsストアアプリのケーススタディ

　卓越したデザイン
　　言語：共通操作体系
　　どこをみているか
　　指の大きさ

　　デザインエクスプレスガイドライン
　　　→ＰＤＦでガイドライン（英語）
　　　　日本語はサイトで

■Windowsストア
　　Windowsストアを経由しないと配布できない
　　　メリット：プロモート、管理
　　　デメリット：審査が入る

　　エンタープライズシナリオ
　　　　サイドローディング
　　　　　　アクティベーションキーを使って解除

■向き合い方　　　
　　アプリケーションのシナリオ、デザインで大きく違う
　　アメリカ７６％がノート
　　ピアノの上に置く・・・のもあり？

■そもそも、できること、できないこと
　　アプリのレイヤ構造
　　　　デスクトップアプリはすべて
　　　　ストアアプリは、制限アリ

■Ｗｅｂアプリケーションに近い発想で
１．クラウドとの連携が大前提
２．ローカルのアクセスに制約がある
３．バックグラウンドに回ると止まる

■Ｊａｖａｓｃｒｉｐｔ
１．ＪＳテクノロジー
２．ＰｈｏｎｅＧａｐ、Ｔｉｔａｎｉｕｍ、せんちゃ
３．センサーへのアクセス

■デザイン原則に従う
１．共通のＵＩは、カスタマイズできない
２．タッチで操作できなければならない
３．全画面で表示

■デスクトップアプリ
・自由、なんでもあり
　　デスクトップアプリでＡｎｄｒｏｉｄエミュレーター
　　　　→審査とおる？

■今日お伝えしたいこと
　ＵＸガイドラインを読もう
　Windows8時代のデスクトップアプリ

■ＵＸガイドライン
　　デスクトップアプリのためのガイドラインがある
　　Ｖｉｓｔａ→７

　　プリンターメーカーのほとんどは、
　　　　ラジオボタンを選択している
　　マイクロソフトは
　　　　ドロップダウンリストを選択している

　　なぜ？
　　　→ＵＸガイドラインに書いてある
　　　　　強調しないとき、ユーザーに変更を要しない場合
　　　　　ドロップダウンリストを使う

　　コントロールの章、ぜひ読んでください
　　（２０１０年）

■Windows８時代
　　タッチ可能なデバイス
　　ディスプレイの高精細

　レガシーサポート
　　　タッチ対応しなくても、タッチ操作がいちぶできる

■対応が必要
　　１．マウスカーソルの位置に依存した操作
　　２．ＢＵＴＴＯＮＤＯＷＮとＢＵＴＴＯＮＵＰを分けて処理する必要がある
　　３．マウス用の寸法なのでタッチ不能

■ＯＦＦＩＣＥ２０１３
　　マウスモードとタッチモード
　　　　同じ比率で大きくなっているわけではない
　　　　カラーパレットは２．５倍→ダイアログだからいい

■Ｒｅｔｉｎａ（れてぃーな）ディスプレイは
　　ノートでも２０１３年に来る－Ｉｎｔｅｌ
　→ＤＰＩスケーリング
　　　Windows7：規定値１００
　　　Windows8：規定値変化(ピクセル密度で）
　→アプリが対応しているか？
　　　　ＷＰＦなら、ほぼ対応不要
　　　　Windowsフォーム、ＭＦＣなら、要確認
　　　　　→この辺の対応は、参考資料で挙げておく

アクション
　ＵＸガイドラインを読もう。意識変わるよ

Java8とかjavaEE7とか－The action for making the future Java

デブサミ２０１３に、
昨日（２月１４日）行ってきた。その内容をメモメモ。

今度はThe action for making the future Java
Java8とかjavaEE7とかＪａｖａＦＸの話とか・・・

---

■１７
　今年でＪａｖａ１７年（発表される前も合わせると、２０年くらい）

・Ａｃｔｉｏｎ
　I love Java
　　　わくわく感：世の中に衝撃を与えた
　　　　その前：ぶらうざの中の動きはなかった。
　　　　　デューク君が動いた：衝撃！

　　　今Ｊａｖａにわくわく感はあるか？
　　　　まだわくわくが広まっていない
　　　　でも、Ｊａｖａにもわくわく感がある

　１つの言語を覚えれば何でも書けるのはＪａｖａだけ

■Ｊａｖａ
　Ｎｏ１プラットフォーム
　Ｊａｖａの由来（なんでＪａｖａっていうか）
　　　いろんな案がでてくる
　　　Ｊａｖａの１０年－絶版、おもしろい
　　　　　Ｓｕｎの生い立ち、Ｊａｖａの歴史
　　　　　　ビルジョイとジェームスゴスリン

■進化し続けるＪａｖａ
　　ＶＭ
　　ライブラリ
　　フレームワーク

　ＴＩＯＢ
　　→返り咲き１位

■Ａｃｔｉｏｎ＃１
　　ＪａｖａＳＥ７の適用はお済みですか
　　　２０１１年７月２８日リリース
　　　　　パフォーマンス、
　　　　　開発生産性
　　　　　　　Ｐｒｏｊｅｃｔ　Ｃｏｉｎ
　　　　　　　　　Ｓｗｉｔｃｈ文で文字列など
　　　　　　　ＮＩＯ２
　　　　　　　　　　ファイルのパフォーマンス改善

■Ａｃｔｉｏｎ＃２
　　ＪａｖａＦＸをご存知ですか
　　　Ｊａｖａでリッチクライアント開発
　　　ＷｅｂＫｉｔも入っている
　　　　　サンプル・ソースコードも

　　ＪａｖａＦＸでiOS,Androidが動く
　　　　ソースいじらずに
　　　　２年前に
　　　　２、３ヵ月後にオープンソースで提供

■Ａｃｔｉｏｎ＃３
　　ＪａｖａＥＥ６の適用はお済みですか
　　　　　Ｊ２ＥＥのイメージ：いまは間違い
　　エンタープライズの分野でも
　　いずれＪａｖａＥＥ７
　　ＪａｖａＥＥ６：
　　　　　オールインワン、
　　　　　軽量
　　Ｒａｉｌｓかんかくで、簡単に
　　ＪｑｖａＥＥ６の本

■２０１３年Ｊａｖａにとって重要な年
　　　Ｊａｖａ８がでる
　　　ＪａｖａＥＥ７　春：まもなく

・ＪａｖａＥＥ７はおもしろい！
　　ＷｅｂＳｏｃｋｅｔ
　　いまからためせる
　　　　ＧｌａｓｓＦｉｓｈＶ４をダウンロード

■Ａｃｔｉｏｎ＃５
　　ＪａｖａＳＥ８
　　　　λ式
　　　　ＪａｖａＦＸ８の統合
　　　　Ｎａｓｈｏｒｎ（なずほーん）の統合
　　　　　　ＪａｖａＳＥ７から、動的言語を動かす仕組みが入った
　　　　　　Ｊａｖａの上でＪａｖａｓｃｒｉｐｔが動く
　　　　　　　　らいのとの違い
　　　　　　　　いんぼーくだいなみっくを使っている
　　　　　　　　　　　→パフォーマンスすごくいい

　おためしできる
　　　JRUNSCRIPT
　　→今年の秋に出てくる
　ＮｅｔＢｅａｎｓも対応している

■Ａｃｔｉｏｎ＃６
　Ｐａｒｔｉｃｉｐａｔｉｏｎ（参加）
　　Ｊａｖａ　オープンになっている
　　　　ＪＣＰ．ＮＥＸＴ
　　　　　　すべてオープン
　　Ｊａｖａがではじめのころ：キーポイントだった
　　　　ブラジル、イギリスが重要視
　Ａｄｏｐｔ　ａ　ＪＳＲ　Ｐｒｏｊｅｃｔ
　オープンで開かれたJavaを最大限に利用しよう

JJug CCC Spring　登壇者募集中！（５月１１日）

■Java developer Network

■Ａｃｔｉｏｎ＃７
　Ｏｒａｃｌｅからのアナウンス
　どこまで書いて良いのかわからないので省略。

Androidセキュアコーディング

デブサミ２０１３に、
昨日（２月１４日）行ってきた。その内容をメモメモ。

まずは、Androidセキュアコーディング。

---

■お題
１．ＪＳＳＥＣとセキュアコーディングガイド
２．Ａｎｄｒｏｉｄアプリの脆弱性の事例とガイド
３．Ａｎｄｒｏｉｄアプリ脆弱性の最新の分析報告
４．Ａｃｔｉｏｎ

■１．ＪＳＳＥＣとセキュアコーディングガイド

・ＪＳＳＥＣ＝日本スマートフォンセキュリティ協会
　　いろんなガイド文書を作成して公開
　　ボランティア
　　会員は法人だが、裏技で、Ａｎｄｒｏｉｄセキュリティ部に個人で入って、
　　　ＪＳＳＥＣに関われる

・ＪＳＳＥＣ
　Ａｎｄｒｏｉｄアプリのセキュア設計・セキュアコーディングガイド
　　→ＴＩＰＳを集めている：１箇所にあつめる
　　　いろんなバージョンの検証
　　　タイムリーに交信
　　　ＰＤＦ、サンプルコードを公開
　　　目指しているのは、開発現場で使えるガイド
　　　　　コピペして使える
　　　　　コメントでポイント


■２．Ａｎｄｒｏｉｄアプリの脆弱性の事例とガイド
・ＩＰＡのＡｎｄｒｏｉｄソフトウェア製品の脆弱性調査から
　　２０１２年に入ってから急増
　　　　市場拡大
　　　　専門家が目をつけた

　　初歩的な不備が多く指摘されている
　　　　アクセスコントロールなど
　　ＪＶＮ（Ｊａｐａｎ　Ｖｕｌｎａｅｒａｂｉｌｉｔｙ　Ｎｏｔｅ）
　　　　脆弱性情報のポータルサイト
　　iPediaの脆弱性情報、Androidで２／８に１５６件

・事例紹介：以下、事例３つ、ＪＶＮの中から、
　　　１．どんな脆弱性か
　　　２．原因
　　　３．どうあるべきだったか
　　　４．ガイドに何とかいてあるか
　を説明
　これらは、現時点でもちろん対策積み。被害もなかった

・ＪＶＮ３１８６０５５５
　　１．マルウェアが画像アップロード機能を使い、
　　　　勝手に画像を添付してＴｗｅｅｔできてしまう
　　２．画像アップロードＡｃｔｉｖｉｔｙが
　　　　ほかのアプリから使えるようになっていた
　　３．マニュフェストにandroid:exported="false"を指定
　　４．ガイドの「非公開アクティビティを作る」に記載されている

・ＪＶＮ９２０３８９３９
　　１．ほかのアプリが友達の発言内容を取得できてしまう
　　２．友達の発言をＳＤカードに保存していた
　　　　　→ＳＤカードはほかのアプリから読み取れる
　　３．非公開ファイルに保存する（非公開設定も）
　　４．ガイド「非公開ファイルを使う」に書いてある

・ＪＶＮ２３３２８３２１
　　１．Ｔｗｉｔｔｅｒ連携機能があり、ＩＤ／ＰＷを他アプリが
　　　　読み取れる
　　２．ＬｏｇＣａｔにＩＤ／ＰＷをデバッグモードで書き出していた
　　　　→デバッグ出力したのをそのままリリースした？
　　３．リリース時、デバッグログを出さないようにする
　　４．ＰｒｏＧｕａｒｄ設定を第３版で

■３．Ａｎｄｒｏｉｄアプリ脆弱性の最新の分析報告
・ＪＶＮで２０１２年に公開されたＡｎｄｒｏｉｄアプリの脆弱性には
　偏りが見られる
　　　Intent、WebViewに関するもの多い
　　　同じアプリに複数

・理由→発見者の意図（モチベーション）
　　　・見つけやすいもの
　　　・インパクトある→メジャーなもの
　　　・自分で使っている／入手しやすい
　　　・数を稼ぎやすい

・ということは、潜在的に脆弱性のあるアプリが多くあるのでは？

・ザックリしらべる
　　セキュアコーディングガイド違反について
　　１０００アプリをサンプル
　　事例が見つかっていない脆弱性をチェック

　　例：
　　　サービスを使っていて、exported=falseにしていない
　　　　　４１４件使っていて　falseにしているのが７１件
　　　　　　　→のこり３００以上は・・

　　　SQLiteでopenorCreateDatabase呼び出し７６件

　　　ＷｅｂＶｉｅｗの呼び出しでaddJavascriptInterface
　　　　　→ほかからJavascriptが操作できる危険性

・脆弱性を作りこんでいるアプリはあるのでは
　　　→ＪＳＳＥＣのガイドを活用しましょう

■４．Ａｃｔｉｏｎ
・ＪＳＳＥＣのガイドをダウンロード
・ＪＳＳＥＣのガイドをよむ
・ＪＳＳＥＣのガイドのサンプルコードをコピペ
・ガイドの作成に協力