- 390 名前: ◆2237831232 mailto:sage [2009/05/24(日) 18:40:39 ]
- 何とかごまかせないかと全部読んでみたけど無理みたい……。
DLの流れはSDF→ADF→JARで、普段はADFのURLを書くところにSDFを書く模様。
SDFはドコモ網内にある&ADFに未公開の情報を設定する必要があるから、
TrustedAPIDをどう頑張っていじっても無駄orz
SDFにはAPID、ADFのURL、公開鍵、APIごとの使用可否が載っている。
ADFにはAPID、JARのURL、JARのハッシュ、秘密鍵が載っている。
1. リンクのクリックを契機にSDFをDLして、APID、ADFのURL、公開鍵を取り出す。
(SDFはドコモ網内にあり、携帯との経路は専用線なので改竄は無いものとし検証しない)
2. ADFのURLからADFをDLして、APID、JARのハッシュ、秘密鍵を取り出す。
3. 公開鍵と秘密鍵、それぞれのAPIDの一致でADFを検証し、NGならADF異常で終了。
4, JARのURLからJARをDLする。
5. DLしたJARとADFのJARのハッシュでJARを検証し、NGならJAR異常で終了。
6. JARのインストールを完了する。
7. トラステッドAPIの実行可否は、SDFのAPI使用可否を参照して決定する。
この方式だと、SDFを経由してセキュリティを確保しながらも、
コンテンツ提供側はADFとJARを自由に更新できて便利な訳か。
検証の部分は省略したり別の方法を使ってもいいみたいだけど。
|
 |
