高木浩光＠自宅の日記 - 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。

■ 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。 今月中旬のこと。私は2テラのハードディスクを買溜めするため秋葉原の街に出た。しかし、どの店が最安か調べずに出たため、やむなく携帯電話で調べることにし、価格.comのサイトを探した。すると、携帯電話用のサイト m.kakaku.com があり、私は初めてそこを使った。 サイトはとても使いやすく、すぐに意中の製品を見つけることができた。が、ここで、画面に「履歴」というリンクがあることに気づいた。「履歴」の画面に入ると、なんと、閲覧した製品が既に記録されていた。ログインしていないのに。いや、アカウントさえないのに。 これはたしかに便利な機能ではあるが、契約者固有IDを用いて実現されていることにギョッとした。同様の機能は普通のPCのインターネットでもcookieを使って実現できるわけだけども、契約者固有IDの取得と保管は、

[willnet]

この問題への対策は、m.kakaku.com 以外のホストでのアクセスを拒否することである

[tanakaBox]

おっぴろげ2

[TakagiHiromitsu]

↓yukikeiichi↓itochan↓ardarim < 「個体」は生物に対して使う言葉。固体じゃない。ワンクリ・架空請求業者並みの日本語センスなことを自覚せよ。NTTドコモの汚点。Willcomも同類。

[setamise]

docomoかんたんログイン

[satoship]

todo

[itochan]

「個体」は、人間を畜生扱いしているのではなくて、携帯電話そのものを指してると思ってた

[nippondanji]

筆が走ってるなあ。

[f_oggy]

ドコモの契約者固有IDをCookieと同じ感覚で使われてしまった事例。確かにiモードのような独自仕様に対しての説明が足りない点はドコモに責任があるよね / それにしても高木先生パネェっす

[Layzie]

PCだと同じ機能でも「あら便利」となるけど、携帯だと怖いな。

[rosso12]

「NTTドコモの責任で解決にあたるべきことだ。尻は自分でぬぐってほしい。」（が、きっとやらない）

[K-Ono]

それはそれとしてPC主要パーツの価格見るならサハロフさん一択だと思うんだが……

[mabots]

カカクコムさんはセキュリティのベンチに使われてしまうのか・・

[tarchan]

ドコモの反応待ち＞これは、NTTドコモの責任で解決にあたるべきことだ。尻は自分でぬぐってほしい。

[TakamoriTarou]

他人の常識を期待して、言うべき事を言わないのは駄目ってことかなぁ。

[ghostbass]

cookieを使える日はいつ？って事で良いのかな

[MinazukiBakera]

同様の事例はまだまだありそうですね。

[namnchichi]

携帯ユーザーの娘にどう指導したらよいのかな。

[cubed-l]

氷山の一角と思われる、のだからどう対処すべきかはキャリアから示さないとやはりダメなんだろうな

[ardarim]

「個体」は利用者じゃなくて「個々の端末を識別する」という意図で使ってると思われ。下品かどうかは別にピンと来ない表現ではある。WILLCOMも公式で個体識別情報とか言ってるのか…

[ockeghem]

言及ありがとうございます。うーん、カカクコムさんでさえご存じなかったとは…/あわせて読みたい『かんたんログイン手法の脆弱性に対する責任は誰にあるのか』http://www.tokumaru.org/d/20100212.html#p01

[syamaniha]

価格.com, 契約者固有IDの取得と保管を、予告と同意なく記録されたことにギョッとした

[napsucks]

ん？DNS rebindingがサイト側の問題じゃないとすると、なんでカカクコムが槍玉に上がってるの？つかrebindingはSSL以外では防げないような / ん？明後日とは？ますます主張がわからん

[hiroomi]

契約者固有IDはちゃんとハッシュ化（鍵付きで）してから使っているのだろうか