もう対処済みですが、本サイトの方で案内した通り、付箋紙が登録も変更も削除もできなくなる状態が発生してました。本当に申し訳ありませんでした。
原因、、、なんですが、分かってるんですが本当のところは良く分かってないのです。
(どっちやねん!)
AIRのクライアントを立ち上げると、
(1) HTTP(non SSL)のサイトにアクセスして、Googleログインする。
(2) セッションキー(Cookie)が払いだされる。
(3) そのCookieを使ってHTTPもHTTPSも通信する。
という動きになっていたんですが、
ある時から(1) の方法で取得した(2)のCookieがHTTPSで使えなくなってしまっていました。
AIRのクライアントは、
・更新の確認(だけ)はHTTP
・付箋紙の取得、登録、変更、削除はHTTPS
でおこなうように作られているので、後者が全部失敗しちゃってました。
前は(3)がOKだったんですけどね・・・。HTTPでアクセスして取得したCookieをHTTPSで使えなくしたのは誰なんだ?というところが分かってません。
・GAEか?
・Googleアカウントか?
・Windows(InternetExplorer)か?
・AIRランタイムなのか?
嫌疑がかかるのはこれだけいます。
とはいえです。セッションキーをHTTPで送り続けるのもセキュリティ的にまずかったなとは思うので、(1)はHTTPSにするように変更しました。
じゃあ、HTTPを使ってる「更新の確認」はどうすんの?とお思いでしょうか。
ええ、そこをクリアするのに少々時間がかかってお待たせしてしまいました。
結論としては、HTTPSでログイン後、HTTP専用のセッションキーを内部的には払いだすようにしてます。HTTP専用セッションキーは例え盗まれたとしても「更新があるか・ないか」しか分かるものはない(Googleアカウントすら秘密)ので、セキュリティ的には大丈夫かな、と思います。
ふぅ。。。あせったな。。。
