高木浩光＠自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか

■ 携帯電話向けWebアプリの脆弱性事情はどうなっているのか WEB+DB PRESS誌のVol.37に「携帯サイト開発 実践テクニック 2007」という記事が掲載されているのだが、そこにこんな記述があった。 端末認証 登録が必要なサイトの場合，利用する際にはログインが必要です．ID/パスワードを毎回入力するのでは，携帯の場合では特に面倒です． そこで携帯ならではの認証方法として，現在の端末では取得が容易にできる端末自体の情報（端末ID）を利用します． （略） セッション PCサイトでセッションを使う場合は，通常セッションIDをCookieに保存しますが，携帯ブラウザではCookieにデータを保存することができません．そこで携帯サイトでCookieを使う場合はURLにセッションIDを埋め込むことになります． セッションIDをGETで渡す セッションIDをGETで渡す場合は，PHPの設定ファ

[kamip]

セッション管理

[unieye51]

高木浩光＠自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか

[webmarksjp]

Security

[tad0]

五ヶ月おくれで俺も発見

[kgbu]

機密保持か、情報公開か、それ以前の問題か

[no_ri]

IPでのアクセス制御併用ならいいとは思うけど。

[deep-sound]

ケータイバンキングは危険

[kirara_397]

][programming]

[tenkao]

"Refererと共に端末IDもリクエストヘッダとして送信されているわけで、セッションID入りURLと端末IDがセットで流出するのだから、当然、同じHTTPリクエストを送るだけの方法でなりすましアクセスされてしまう"

[suVene]

端末IDとURLに含まれたセッションIDで認証OKとすることを促す記事への批判

[iiiiiiiii]

モバイル　携帯　セキュリティ

[legnum]

パケ放題でPC並みの接続時間になるのにセキュリティは甘いとなると悪い人たちが黙ってないすね。

[rhosoi]

WEB+DB PRESS誌の記事でこのレベルってマジかいや・・・ケータイって怖いなぁ

[terazzo]

まともなところならFWでソースIP制限はやっているので、端末でできることが問題となる。URLであれはあれです。

[ultraist]

アプリからSocketで繋げば偽装できないか気になる。端末IDってどのレベルで付加してるんだろ？ 基地局のProxy的なところかな。

[nilab]

高木浩光＠自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか:携帯電話Webアプリのセキュリティが怪しいという話はいろいろな人から耳にするが、携帯の世界では秘密保持契約による縛りがあって、皆

[SiroKuro]

ん？ IP チェックと併用してるところって少ないの？

[kazy]

あるある。簡単ログインとかああいうやつね。とりあえずIPによる制限と併用でやってるところが多そう。

[mi1kman]

あるある．古い端末にも対応しようとして，簡便な方法を取るから問題に．

[se-mi]

外部サイトへのリンクには注意

[walkinglint]

ふむ... > WEB+DB PRESS誌のVol.37に「携帯サイト開発 実践テクニック 2007」という記事が掲載されているのだが、そこにこんな記述があった。

[kuenishi]

>>>その場合は、セキュリティ事故について通信事業者が責任を負うことになるのではないか