docomo ID認証が怪しげすぎる件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 NTTドコモがOpenIDを採用、PCサイトも“iモード認証”が可能に 「docomoがOpenIDに対応した」と話題になっているが、よくよく仕様書を見ると怪しげな点が多い。 ポイントはこの3つ。 ・RPに規制は無い(当たり前だけど)。つまり勝手サイト(勝手RP?)でも利用可能。これはケータイでも同じだけど ・iモードIDとUser-Agentを取得できる ・iモードID 取得はAXでもSREGでも無い独自仕様 つまり簡単に言うと、勝手サイトを立ててdocomo IDでログインできるようにして
セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
高木浩光@自宅の日記 - 「日本のインターネットが終了する日」あとがき
■ 「日本のインターネットが終了する日」あとがき 10日の日記「日本のインターネットが終了する日」には、書ききれなかったことがある。また、頂いた反応を踏まえて追記しておきたいこともある。 青少年は結局どうすればいいのか はてなブックマークのコメントに、「本当に知らなければいけない人には理解されないかと思うとね・・・哀しくなってくる」という声があった。リンク元のどこだったかには、「肝心の子供たちにはどう説明したらいいんだ」というような声もあったと思う。 契約者固有IDの送信を止める設定をしてしまえば、モバゲータウンや魔法のiらんどなどが使えなくなってしまう。設定をアクセス先毎に変更しながら使うという方法もあり得るが、子供たちにそれをさせるのは無理な話だろう。保護者としては、確実に安全に使える設定を施した上で電話を子供に渡したいはずだ。「住所氏名は入れちゃ駄目」というのは、これまでも子供たちに
新手の携帯電話ワーム「Beselo」、拡散中
やあ、ぼくだよ。Beseloワームだ。Symbianベースの携帯電話を使っているきみに、新しいプレゼントを届けよう。 だが、こんな誘いは断固拒否するようにと、セキュリティの専門家が、Symbianの「S60 2nd Edition」を搭載した携帯電話のユーザーに忠告している。 フィンランドのセキュリティ企業F-Secureが、現地時間1月22日に発表した情報によると、「Beselo.A」「Beselo.B」という2つのワームが、ユーザー環境に拡散しているという。これは、悪意あるファイルを送りつけ、S60ユーザーに開かせようとするものだ。 Beseloは巧妙で、悪質なペイロードを送り込む際に、本来の拡張子である「.sis」ではなく、一般的なメディアファイルの拡張子を利用する。 携帯電話ワーム「Commwarrior」と同じで、Beseloはマルチメディアメッセージングサービス(MMS)やBl
GPhone対iPhone:セキュアなのはどっち?--さっそく議論が勃発
Googleが今週、待望のモバイルプロジェクトを発表するやいなや、このプロジェクトにおけるLinuxをベースとしたプラットフォームのセキュリティについて、議論が起こった。 Androidと呼ばれるこのプラットフォームのオープンソースモデルは、セキュアなコードを生み出すことはできるのだろうか。また、Androidをベースとした携帯電話(多くの人はこれをGphoneと呼ぶ)は、プロプライエタリなソフトウェアを使用して開発されたAppleの「iPhone」と比べてセキュアなのだろうか。Androidの開発者は、悪意あるコードの作者がそのオープン性を悪用することを防ぐために何が出来のだろうか。 セキュリティベンダーのMcAfeeは、モバイル機器向けのプロプライエタリなセキュリティソフトウェアを開発し、モバイルコード開発のためのオープンソース文化をいち早く守ってきた。 McAfeeは、オープンなモバ
グーグルの「Android」はウイルスの標的になるか?
Googleが待望の携帯電話向け新ソフトウェアプラットフォーム「Android」を発表したが、セキュリティ研究者たちは、これをきっかけに悪意のソフトウェアが携帯電話を標的に猛攻撃を仕掛けるようになるのではないか、との疑問を投げかけている。 Androidは、オープンソースのオペレーティングシステムを通じて次世代の携帯電話プラットフォームとなることを目指したものだが、セキュリティ研究者たちは、これが携帯電話向けウイルスの増加を招く可能性を危惧している。 セキュリティ対策企業であるF-Secureの公式ブログにはこう書かれている。「ここでの重要な問題は、Androidが完全にオープンなシステムになるのか、あるいは(たとえばSymbian OSのように)署名し承認されたアプリケーション向けのシステムを採用するのかという点だ。誰が書いたかわからない、署名のない、正体不明のアプリケーションが携帯電話
ケータイをPCサイトアクセスの鍵に--ソフトバンクBBの「SyncLock」
ソフトバンクBBは9月20日より、携帯電話を本人認証のカギとして利用する認証システム「SyncLock」に、ウェブアクセス認証に対応したシステムを追加することを発表した。 ユーザーはPC画面にランダムに表示される4桁の番号を携帯電話から入力し、シンクロサーバに送信する。シンクロサーバ上で、PCと携帯電話による2経路複合認証を行うため、重要情報が漏えいせず、安全で確実な本人認証が可能になるという。 1台の携帯電話でSyncLockを採用したあらゆるウェブサービスへのアクセスでき、複数のID、パスワードを持つ必要がない。同社では「一見シンプルな仕組みだが、従来にはない高度な安全性を実現している」としている。 SyncLockは、9月24日に開業する住信SBIネット銀行に採用され、認証強度が求められる振込取引の場面で利用される。今後は、PCのアプリケーションの認証やEコマースの代金決済、ネットワ
携帯電話からのWeb利用の安全性は、十分に配慮されているだろうか? | スラド セキュリティ
米国でiPhoneが発売され、いよいよ日本国内の携帯のガラパゴス文化が際立ってきている気がする今日この頃だが、皆さんは「携帯電話からのWeb」をどれくらい利用しているだろうか? そして、そのセキュリティをどれだけ気にしているだろうか? 6/24の高木浩光氏の日記「ケータイWebはそろそろ危険」では、 GoogleとKDDIの提携により実現されているWeb検索機能が、検索結果でのURLが自明でないという指摘がなされている。サービスを提供する側、利用する側に存在した「あまり遠くへ行かない」という暗黙の了解が通用しなくなっているのに、ユーザを保護する仕組みは旧来の前提を頑なに固持したまま実装されている、という事が解る。一方で、海外のケータイはどうかというと、ITmediaの7月2日の記事などが一つの参考になるだろう。 また、高木氏の6/29の日記「EZwebサイトでSession Fixatio
シマンテック、モバイル端末向けセキュリティスイートの発売を延期へ
セキュリティベンダー各社が、次のプラットフォーム提供先として携帯電話を抱え込むためしのぎを削っているなか、いくつかの企業は身を引き、その決断が正しかったことを確かめている。 Symantecは米国時間5月29日に電子メールで、同社の新しいモバイル向けセキュリティ製品「Norton Mobile Security for Smartphones」の発売を延期することを明らかにした。 この製品は、今週発売される予定だったが、Symantecは米国時間5月29日に電子メールで、「いくつかの見直しが行われ、われわれはこの製品を秋に予定されている『2008 Norton』製品ラインのサイクルに合わせることを決定した」と述べた。 製品発売時には、米国の携帯電話だけでなく、世界中の携帯電話も対象となる予定だ。
携帯業界の認証事情 - y-kawazの日記
巡回サイトの一つである高木浩光@自宅の日記で以下のようなエントリーがあった。 高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか ここではいつもの高木氏の口調で、「携帯向けWEBアプリ開発では未だにGETパラメータでセッションIDを渡しており、それはこれまでも何度もいかんことだと言っている。」というような内容が語られている。 確かにWEB+DBの記事に対して高木氏が注釈で言っているように「IPアドレスによる制限に関して書いていない」という点に関してはWEB+DB側の落ち度だと思う。実際これを行わない限り端末IDやユーザID*1による認証が意味をなさなくなってしまうからだ。*2 但し、キャリア毎にIPアドレス制限をする限りにおいては端末IDやユーザIDは偽装不可能*3なので、むしろ他人でも入力可能なパスワード認証よりも強力な認証かもしれません。逆にいえばその認
高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか
■ 携帯電話向けWebアプリの脆弱性事情はどうなっているのか WEB+DB PRESS誌のVol.37に「携帯サイト開発 実践テクニック 2007」という記事が掲載されているのだが、そこにこんな記述があった。 端末認証 登録が必要なサイトの場合,利用する際にはログインが必要です.ID/パスワードを毎回入力するのでは,携帯の場合では特に面倒です. そこで携帯ならではの認証方法として,現在の端末では取得が容易にできる端末自体の情報(端末ID)を利用します. (略) セッション PCサイトでセッションを使う場合は,通常セッションIDをCookieに保存しますが,携帯ブラウザではCookieにデータを保存することができません.そこで携帯サイトでCookieを使う場合はURLにセッションIDを埋め込むことになります. セッションIDをGETで渡す セッションIDをGETで渡す場合は,PHPの設定ファ
スラッシュドット| 「クローン携帯」初確認。FOMAカードの再利用に穴
読売新聞の記事によると、NTTドコモが提供するFOMAの「クローン携帯」が、少なくとも6件、確認されたという。 クローン携帯による不正利用については、これまでNTTドコモは「不可能」としてきた。しかし解約された「FOMAカード」を、各種情報をすべてチェックしない中国などの電話会社の交換機で使用することで、通話ができていたという。「FOMAカード」の識別番号は解約の約2年後に別のユーザーに再利用されるため、不正利用されていた「FOMAカード」の再利用を受けたユーザーに請求が上がっていた。 NTTドコモは、不正利用された6件のユーザに計26万円の賠償をし、数億円をかけて再発防止対策を実施したという。また、「FOMAカード」の識別番号を再利用せず、使い捨てにするということだ。 【追記 2006.11.24 15:20 by GetSet】 本件に関しては、11/24にNTTドコモより、「今回の件
CNET Japan
Web 2.0 Expo Tokyo、2008年は開催中止 Tim O'Reilly氏の基調講演など、毎年ビッグネームを呼び寄せて開催されていたイベント「Web 2.0 Expo Tokyo」が2008年は中止となることがわかった。理由は米国からの講演者の来日にキャンセルがあったため。申し込み済みの場合は返金されるという。 2008/09/27 15:59 [ネット・メディア] 「T-Mobile G1」は中身で勝負--初の「Android」携帯が持つ可能性 米国時間9月23日に発表されたGoogleの「Android」を搭載した携帯は、外観はほかの携帯電話と大差はないが、これまでの携帯電話にはないユーザーエクスペリエンスを提供するソフトウェアが搭載されている。 2008/09/26 07:00 [スペシャルレポート] 写真で見るLet's note Fシリーズの内部パーツ 松
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
