ひさびさにSkypeネタ。

SkypeAPIをひさびさにいじっていたところ、Skype Developer Zone Blogに気になるエントリーを発見。

• API access authorization revisited
• Changes in the API access authorization logic

サードパーティ製アプリケーションがSkypeAPIを利用する場合に必ず求められていた認証方法がちょっと変わるようだ。SkypeAPIを知らない人にはなんのことやらわからない話なのでちょっとだけ解説を。

SkypeAPIを利用するアプリケーションを使う場合、次のような流れになる。
・Skypeをインストール（当たり前か）
・SkypeAPIを使ったアプリケーションを作成またはどこかからダウンロードしてインストール
・SkypeAPIを使うアプリケーションを起動
・SkypeAPIを使うアプリケーション内部では、SkypeへのAttach（接続）が行われる
・そのアプリケーションがそのPC上で初めて起動される場合、そのアプリケーションがSkypeの機能を利用しようとしているがそれを許可してよいかどうかユーザーに確認するダイアログが表示される
・そのダイアログにて許可を選択する
・アプリケーションがSkypeの機能を利用できるようになる

こうやって書くと結構面倒な処理が必要だと思われてしまうかもしれないけれども、ようはユーザーがそのアプリケーションがSkypeの機能を利用してよいかどうかを許可してくれないと、Skypeの機能を使えないという問題があるのだ。

これがネックになって、SkypeAPIを利用したサードパーティ製のソフトやハードウェアのドライバソフトが正しく動作しないというケースが発生してしまっていた。ユーザーが誤って「拒否」してしまう場合があるためだ。

また逆にSkypeAPIを悪用するウィルスソフトなどに感染してしまったときに、誤って「許可」してしまい何らかの被害にあってしまうというケースも考えられる。

この問題は以前から開発者同士のつながりやSkype社との懇親会などで議論されていたものだ。SkypeはSkypeAPIを公開することで大きな開発者コミュニティとその成果物を通して多くのユーザーを獲得しているが、それと引き換えにSkypeを悪用される危険性も内包してしまっているのだ。ちょっと大げさに書きすぎかもしれないけれども、確かにその危険は存在する。ただ断っておくけれども、これは何もSkypeに限った話ではなく、たとえばWindowsだって、Linuxだって、APIを公開しているすべてのソフトウェアに存在する危険と言える。

それがここにきてちょっと変更・改善されるというものだ。変更内容は大体以下のようなものになるらしい。

・署名のないアプリケーションがSkypeAPIを利用しようとすると、まず警告が表示される
・Skype社が評価してCertifiedとなったソフトウェアは、確認ダイアログなしでSkypeAPIを利用できるようになる
・Skype社が危険なソフト（ウィルスやスパイウェア）と判断したソフトは、SkypeAPIを利用できない

これはかなり期待していい。この仕組みが成功すればSkypeの利用がさらに安全になると言えるだろう。

SkypeはP2Pというシステムの上で動作するアプリケーションなため、日本ではその安全性などが話題になる場合が多い。その報道され方を見ていると、なぜか多くのメディアはどちらかというと「失敗」を期待しているような気がしてならない。その危険性ばかりを大きく取り上げたり、先日のシステムダウンの際もそれみたことか〜といった感じの報道が多かったように思う。
実はSkypeはしっかりとしたセキュリティで守られていることはあまり語られていない。その通信はAESの256ビット方式で暗号化されてPKI認証を使ってユーザー認証をおこなうことで高度に保護されているのだ。

そして日々、このような改善がおこなわれている。こういった点はもっと評価されていい。目新しい機能追加だけでなく、システムを支える基盤の部分が改善されるということが、本来ユーザーにとっては一番のメリットになるはずなのだから。