![KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された](https://cdn-ak-scissors.b.st-hatena.com/image/square/b94c5f37fa6fbc69d74879d2fb186202d19049b9/height=288;version=1;width=512/https%3A%2F%2F2.bp.blogspot.com%2F-EQxYR5TjNxU%2FTtLI04QZuJI%2FAAAAAAAAA2o%2Fd6ywB-n2UIo%2Fw1200-h630-p-k-no-nu%2Fez-narisumashi.png)
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
大変ご無沙汰です。約1年半ぶりの更新です。 昨日、ブログを設置しているサーバでOSのアップデートに問題が発生したため、これを機に新サーバ・新OSに乗り換えることにしました。 現在のブログがマルチサイトのため、そのままでは新サーバの構築に苦戦すると予想されるため、他のブログの記事を統合しました。 統合内容は以下の通りです。 ・C-Production ・・・ メインサイトのため、他のブログを吸収して継続。 ・♪8thNote♪ ・・・ メインサイトに統合済みだったので、削除。 ・モバイル魂 ・・・ メインサイトに記事を引き継ぎ、並行稼働中。 ・無線のドキュメント ・・・ もともと閉鎖予定だったので、そのまま削除 外部SNSのアカウントについてはそのまま継続します。 今後ともよろしくお願いします。
「PHP x 携帯サイト デベロッパーズバイブル」に書かれている内容について、 セキュリティの点について徳丸浩様のサイトでご指摘を頂きました。 ■徳丸浩の日記 - 書籍「PHP×携帯サイト デベロッパーズバイブル」の脆弱性 http://www.tokumaru.org/d/20081014.html ご指摘の通り「PHP x 携帯サイト デベロッパーズバイブル」の7章のかんたんログインの部分で、携帯電話ではセッションIDを用いる方法と、個体識別番号を使った方法を記載しておりますが、セキュリティに関する記述に不備がありました。 7章にかいてある「かんたんログイン」に関する方法は、リクエストヘッダーなどを書き換えることにより、第三者がなりすましてログインされてしまう可能性があります。 そのため「かんたんログイン」を実装する際は、携帯キャリアゲートウェイのIPアドレスから来るアクセスのみに限定
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く