■ 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。 今月中旬のこと。私は2テラのハードディスクを買溜めするため秋葉原の街に出た。しかし、どの店が最安か調べずに出たため、やむなく携帯電話で調べることにし、価格.comのサイトを探した。すると、携帯電話用のサイト m.kakaku.com があり、私は初めてそこを使った。 サイトはとても使いやすく、すぐに意中の製品を見つけることができた。が、ここで、画面に「履歴」というリンクがあることに気づいた。「履歴」の画面に入ると、なんと、閲覧した製品が既に記録されていた。ログインしていないのに。いや、アカウントさえないのに。 これはたしかに便利な機能ではあるが、契約者固有IDを用いて実現されていることにギョッとした。同様の機能は普通のPCのインターネットでもcookieを使って実現できるわけだけども、契約者固有IDの取得と保管は、
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
公開: 2010年1月18日16時0分頃 docomoのJSケータイがDNS Rebindingで「かんたんログイン」を突破される話ですが、読売新聞で今になって報道されたそうで。 最新29機種ドコモ携帯、個人情報流出の恐れ (www.yomiuri.co.jp)ドコモ携帯、情報流出の恐れ…最新29機種 (www.yomiuri.co.jp)スラッシュドットにも。 ドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 (slashdot.jp)って、この見出しだとサイト側の「かんたんログイン」の仕組みに脆弱性があるように読めますが、実際に「脆弱」なのは携帯端末の側 (あるいはドコモのゲートウェイ側に) ですよね。端末側の問題と端末固有IDを使った認証との組み合わせで発生する問題で、どちらにも問題があるのでややこしいですが。 端末固有IDの問題としては、大きく以下の2つがあると思います。 端末固
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く