はてなブックマーク - 徳丸浩の日記: KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された

徳丸浩の日記: KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された

blog.tokumaru.org

タグ : security セキュリティ mobile au KDDI かんたんログイン JavaScript ケータイ携帯電話モバイル

コンピュータ・IT 115 users

2011年 11月29日火曜日 KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された au/KDDIの2011年秋冬モデル（現時点ではF001のみ）にてEZwebとPCサイトビューア（以下PCSV）のゲートウェイが統合されたことに伴い、かんたんログインを実装しているサイトに対して、F001のPCSVからJavaScriptを用いた「なりすまし」攻撃ができる状態でした。この問題をKDDIに通報したところ、直ちに対策が取られ、現在は安全な状態です。以下、詳しく報告します。目次概要経緯... > このページを見る

最終更新時間: 2011年11月29日07時45分

▼ブログで紹介する

このエントリーに含まれている商品

体系的に学ぶ安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践

体系的に学ぶ安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践
徳丸浩
￥ 3,360
在庫あり。 (2011/09/17 17:10 時点) 価格表示について
価格は、記載された日付／時刻の時点において正確です。価格は変更される場合があります。購入時にAmazonウェブサイトに表示されている価格が、その商品の販売に適用されます。
- 出版社/メーカー:ソフトバンククリエイティブ(大型本)
- 発売日:2011/03/03
- Amazon.co.jp 商品ランキング:1,257 位

みんなのブックマーク人気（9）新着

mumincacao
勝手に PHP だけの問題と見てるひと居るけど Apache の CGI 経由で Perl, Python, Ruby 試してみたけど全部引っかかるにう・・・（・ｘ【みかん 2011/11/29
Kimura セキュリティ, javascript, F001, au
user.agentにx.up.subno。。。「_」までは調べたんだが、「.」かぁ。執念が足らなかった。 2011/11/29
ockeghem security, mobile, au, かんたんログイン, セルクマ
日記書いた/11:15訂正。XSS脆弱性は不要でした。海老原さんありがとうございます 2011/11/2936 RT
36 RT

7件のツイートが省略されましたすべて表示
- @its_tack ガラケーはオワコン　…はともかく、スマホのようなサイトはあきらめてシンプルな構造に特化した方が価値があると思う。公共サービス的な物とかHTMLで十分だし。 RT: @ockeghem:
- @masayukisakai そんなに素早い対応ができるなら、なぜ最初から。。。 RT @ockeghem 日記書いた
mkusunok
そもそも筋悪な技術なので今後も脆弱性が出そう 2011/11/293 RT

3 RT
deep_one
端的に簡単ログインをやめるべきだよな…今はCookieも有効ではなかったか。 2011/11/29
gallu
相変わらず血涙がちょちょぎれるような内容である orz 2011/11/29
co3k セキュリティ
http://co3k.org/blog/19 に書きましたが、これはどちらかと言えば WebサーバがCGIに環境変数を渡す際の処理の問題（？）で、今回は PHP がというのはあんまり関係ないような（register_globalsの問題はあるにせよ）> id:calpo, id:rryu 2011/11/29
deg84 かんたんログイン, KDDI
やっぱり問題あったか…／「かんたんログイン」は本当にクソ。でも手軽だから！って理由で結構使われている。エンジニアだったら誰でも「かんたんログイン」がダメなのこと知っているのになぜか 2011/11/29
hkzo セキュリティ
まぁ結局はかんたんログインはやめようってことやね。うちのなかにそんな提案している人がいないことを祈る 2011/11/29

t-murachi ケータイ, bug, セキュリティ
とりあえずはめでたしめでたし… あとは世のすべての「かんたんログイン」が滅び去ってくれることを祈るばかり…。 2011/12/01
houyhnhm
ガラケーで、「かんたんログイン機能無し」「クッキーあり」「ケータイ支払い連動無し・ID射出無し」だと安全で良い気もするんだけどなあ。 2011/11/30
jt_noSke
ふーむ 2011/11/30
riywo
おぉぉ。。。 2011/11/30
tmatsuu
atode 2011/11/30
sabro mobile, security
エンジニアだったら誰でも「かんたんログイン」がダメなのことを知っているのに未だ使われているのは、お客さんがセキュリティを理解できず、パスワード入力の、めんどくさいログインだと去っていくからだろうね 2011/11/30
mas-higa au, mobile, security
結局はかんたんログインやめろということ。 2011/11/29
mumincacao
勝手に PHP だけの問題と見てるひと居るけど Apache の CGI 経由で Perl, Python, Ruby 試してみたけど全部引っかかるにう・・・（・ｘ【みかん 2011/11/29
calpo セキュリティ, ケータイ
さすがPHPさん、盤石やでぇ。 ← id:co3k ありがとうございます。「たとえば、PHPを避ける」（http://bakera.jp/ebi/topic/2971）的なものいいを反省。 2011/11/29
Clock0311
セキュリティ難しい… 2011/11/29
mkusunok
そもそも筋悪な技術なので今後も脆弱性が出そう 2011/11/293 RT

3 RT
Kimura セキュリティ, javascript, F001, au
user.agentにx.up.subno。。。「_」までは調べたんだが、「.」かぁ。執念が足らなかった。 2011/11/29
rryu セキュリティ, ケータイ開発
こっちの http://blog.rocaz.net/2011/11/1312.html 問い合わせ結果とこの日記の公開タイミングからすると、IPアドレス帯域統一中止が最終対応ということなのだろうか。それにしてもPHP…… 2011/11/29
co3k セキュリティ
http://co3k.org/blog/19 に書きましたが、これはどちらかと言えば WebサーバがCGIに環境変数を渡す際の処理の問題（？）で、今回は PHP がというのはあんまり関係ないような（register_globalsの問題はあるにせよ）> id:calpo, id:rryu 2011/11/29
gayou au, mobile, security
F001のPCSVからアクセス時のIPアドレス帯が変更された経緯 2011/11/29
hkzo セキュリティ
まぁ結局はかんたんログインはやめようってことやね。うちのなかにそんな提案している人がいないことを祈る 2011/11/29
gallu
相変わらず血涙がちょちょぎれるような内容である orz 2011/11/29
hiro_y security, mobile
auのやつ 2011/11/29
MinazukiBakera メモ
"X.UP.SUBNO" が "X_UP_SUBNO" になって突破できた話。 2011/11/29
meets623
徳丸浩の日記: KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された 2011/11/29