PM、RDの皆さん、ゼロからアプリブラウザを作成・開発しよう！

1. 要件
   • 自分でアプリブラウザを作りたい場合、市場にあるほとんどのブラウザ機能（検索、タブ、ダウンロード、お気に入り、共有など）を含める必要があります。
   • URLのフィルタリング、サイトのブロックなどの機能をサポートする必要があります。


2. 互換性テスト：
   • 自分でブラウザを開発するので、
     ほとんどの機能が揃っていることを確認する必要があります。
     他のブラウザにある機能が自分のブラウザにないと困るので...
     
   
   
   • ウェブを開発する際に各ページを開くと互換性の問題が発生する可能性があります。この記事を参照してください。
   
   
   • 自作のブラウザがHTMLタグをサポートしているかどうかをテストする必要があります：
     • HTML5機能テスト


3. 自作ブラウザの要件確認
   • まだ開発を開始していないため、まず自分の目標ブラウザがどの程度の機能を持つべきかを確認する必要があります。
     具体的な開発目標がまだ明確でない場合、
     いくつかのサードパーティブラウザを研究し、
     WebViewから始めるか、オープンソースを利用するかを決定します。
     もちろん、オープンソースを使用する場合はライセンスの問題にも注意が必要です。
     
   
   
   • この表は、WebViewから始めるブラウザとサードパーティブラウザの違いを示しています。
     後続の要件の参考にし、実際に必要な機能を議論するためのものです。
     また、サードパーティソースを使用するか自分で開発するかの決定にも役立ちます。
     

• 内容フィルタリングの実装方法は、
  主にサードパーティSDKの導入と自分で実装に分かれます。
  
• この2つの方法を考慮する必要があります
  • ブラウザのコンテンツフィルタリングを自分で開発する場合は比較的単純ですが、システム内のすべてのブラウザを制限する場合は、補助権限の方法を使用するかどうかを検討する必要があります（以下の方法には競合製品の実装方法が参考として記載されています）。また、プロキシやDNSを使用して解決するベンダーもいますが、補助権限やプロキシの開発にはより多くの時間が必要となるため、これも考慮に入れることができます。
  • これらの方法を検討する際には、両プラットフォームで使用可能かどうかを考慮する必要があります。
• サードパーティSDKの導入 :
  • 異なるサードパーティSDKは提供する脅威の種類が異なるため、いくつかの種類がない場合は自分でメンテナンスする必要があります。
  • GoogleサービスのWeb Risk API（ネットワークリクエストAPIを使用する場合、両プラットフォームで使用可能）を使用する場合は、以下を参照してそのルールを理解してください：
    1. Web Risk Service Level Agreement
    2. クォータと制限
    3. 脅威の種類
  • トレンドマイクロ HNS SDKを導入する場合は、そのSDKが我々の目標データを提供しているかどうかを確認する必要があります。
    • このSDKはその会社のカスタマーサポートと連絡を取る必要があり、ウェブサイトには開発ドキュメントが表示されていないため、以下の図から提供される範囲を大まかに理解することができます：
    • 提供範囲と詳細項目
    
    • システム要件と両プラットフォームのサポート範囲
    
    • また、以下にトレンドマイクロのアプリを解析したものがあり、その内容がこのアプリと類似している可能性があります。
  • CleanBrowsingを導入する場合、以下の注意事項があります：
    1. Android 9.0以上をサポートし、設定内でDNS-over-TLS (DOT)プロトコルを使用してDNSを設定します：方法 （この実装方法はAndroidの機能を使用しているため、iOSはサポートしていないと推測されます）
    2. また、この会社のカスタマーサポートと連絡を取る必要があり、以下はウェブサイトで提供されているフィルタリング範囲です：
    
• コンテンツフィルタリングブラウザの自社開発
  いくつかのサードパーティのオープンソースを使用することができます。例えば、`PhishTank`（下に実際の例が記載されています）は、フィッシングサイトの可能性があるオープンソースデータを提供しています。
  また、提供される目標の種類が予期しているものであるかどうかを考慮し、そうでない場合はどのようにメンテナンスするかなどを検討する必要があります。

• 市場にある既存のSDKを導入する、例えばGoogleの Safe Browsing API、 Web Risk APIやトレンドマイクロの HNS SDKなどの製品。
  CleanBrowsingはDNS設定を通じてフィルタリングを行うことができます。
  以下に各種方法の作業手順を開発者向けに記載します。
  
  • Safe Browsing API（非商用） vs Web Risk API（このプランは有料）
    • Safe Browsing APIは非商用利用のみで、商用利用には Web Risk APIを使用する必要があります。
    • Web Risk Rest API ドキュメント ：このAPIはURLが脅威であるかどうかをチェックし、フィルタリングします。実際の開発ではHTTPSリクエストを通じて行います。
    • Web Riskが提供するAPIの種類
      1. Lookup API : 指定されたthreatTypesとターゲットURLを送信し、バックエンドで検索して脅威の種類と最終有効時間を返します。
      
      
      2. Update API : Web Riskのハッシュリストをダウンロードし、ローカルに保存します。ローカルでチェックし、一致するものがあれば他のAPIで確認します。
      
      
      3. Evaluate API : 指定されたthreatTypesとターゲットURLを送信し、バックエンドで検索して脅威の種類と信頼レベルを返します。
      
      
      4. Submission API : リスクがあると考えられるURLをサーバーに報告します。
      
      
    • Web Risk APIが提供する脅威の種類
      
  • HNS SDK このプラットフォームではSDK開発ドキュメントが提供されていません。このプランを使用する場合は、連絡を取ってから詳細を確認する必要があります（ただし、同社のセキュリティ製品を調査したところ、このSDKはこれらの要件を含むと推測されます）。
  • CleanBrowsing このプランを使用する場合、コードを通じてEncrypted DNS – DNS over TLSサポートを設定できるかどうかを確認する必要があります。
    • この製品を確認し、補助権限と管理者権限を取得する必要があります： 手順ドキュメント
• 自社内での開発
  • URLブラックリスト、コンテンツ解析フィルタリングのデータソース
    • オープンソースで維持されている第三者のフィッシングサイトリスト PhishTank 現在も継続的に維持されており、約7万件の確認済みオンラインフィッシングサイトを提供しています。また、疑わしいフィッシングサイトも提供しています。
      
  • 公式FAQに商用利用が可能と記載
    
  • 競合製品を参考に開発、URLブラックリスト、コンテンツ解析フィルタリング
    • トレンドマイクロのモバイルセキュリティアプリでも、ブラウザ保護機能を提供していることを確認
      
    • 推測するに、ブラウザのURLを取得し、対応する処理を行うために補助権限を使用している
      この方法を使用することが、アプリの補助権限の設定で言及されている
      
    • ここではChromeのURLを取得するデモを作成
      まずAccessibilityを設定し、XML宣言部分にターゲットパッケージ名を追加
      次にコード内でedittextを取得し、画面上のURLを取得できるようにする：
      
      
    
    
    • 実際のURLログを取得
      
    
    
    • さらに、
      主要なアプリに対して処理を行うと推測される
      あまり使用されない、またはパッケージ名を取得しにくいアプリの場合、
      その競合製品は保護対象のアプリを選択する機能を提供し、
      VPNを通じて接続する（推測されるに、プロキシやDNSフィルタリングが設定されている）
      
    
    
    • そのアプリはウェブサイトタイプのフィルタリングも行っている
      カテゴリごとにサイトを分類し、フィルタリングを実行しているように見える
      
      
    
    

• この方法は主に、
  google 自身のライブラリ内で提供されているもので、
  intentを発行することで、
  指定されたURLをchromeで開くことができます。
  デバイスにchromeがない場合やcustom tabsをサポートしていないブラウザがある場合でも、
  
  intentを発行してシステムブラウザ（通常はデフォルトブラウザ）を呼び出します。
  さらに、custom tabsを使用するページには固定のメニューオプションがあり、
  その中の1つはchromeで開くことを許可します。
  ページのカスタマイズ可能な範囲もchrome内に限定されます。
  参考

• webviewでwebViewClientを設定する際に
  制限に合わないURLを発見した場合は別のページにリダイレクトします。
  

       public boolean shouldOverrideUrlLoading(WebView view, String url) {
           if (!isUrlValid(url)) {
               view.loadUrl("file:///android_asset/error.html");
               return true;
           }
           return false; // falseを返すと、そのURLを通常通りに読み込みます。
       }
       

• webviewのuserAgentStringを設定し、
  バージョンに応じて適応させます（ただし、そのURLのサーバー側がサポートしている必要があります）。
  

       currentWebView!!.settings.userAgentString = resources.getStringArray(R.array.user_agent_data)[2]
       currentWebView!!.reload()
       

• user_agent_dataにはデフォルトのブラウザエージェントの設定が含まれています。
  
• 一部のwebコンポーネントが表示されない場合、そのコンポーネントがJavaScriptを必要としているかどうかを確認してみてください。
  

      currentWebView!!.settings.javaScriptEnabled = true // または false
      

• webview検索をサポートする必要がある場合、
  目標の検索エンジンに対応するURLを入力し、後ろに値を追加するだけです。
  

      例としてGoogle検索を使用：
      https://www.google.com/search?q=検索内容
      

  アプリでユーザーにどの検索エンジンをデフォルトにするかを提供します。
  

1. lynket

• ライセンス : GNU v3 パブリックライセンス。

2. duckduckgo

• 現在のところ、より完全なものはduckduckgoです。
  純粋なKotlinで実装されており、ソースコードが読みやすいです。
• ライセンス : Apache 2.0 ライセンス。

3. foss browser

• ライセンス: AGPL-3.0
• ライセンスの問題で、現在は考慮していません。
• FOSSで、純粋なJavaで開発されています。
• このオープンソースにはいくつかの機能があります。

4. Yuzu browser

• Apache ライセンス 2.0
• 純粋なKotlinで実装されていますが、
  公式コードをダウンロードしてビルドする際に、
  macバージョンの問題に遭遇しました。
  必要に応じて調整してください。