i-mode2.0セキュリティの検討: 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 - 徳丸浩の日記(2009-08-05)

_携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログインの可能性について検討する。 5月28にはてなダイアリーに書いた日記「i-mode2.0は前途多難」にて、今年のNTTドコモの夏モデルP-07AにてJavaScript機能が利用停止されたことを指摘した。同日付のNTTドコモ社のリリースによると、「ソフトウェア更新に伴い、高度化した機能の一部をご利用いただけなくなっていますが、再びご利用いただけるよう速やかに対処いたします」とあったが、それ以来2ヶ月以上が経つものの、未だにJavaScript機能は利用できない状態のままだ。 実は、NTTドコモ社が慌てふためいてJavaScript機能を急遽停止

[babydaemons]

これ仕様決めた人アホだろw "携帯電話のJavaScriptでXMLHttpRequestオブジェクトが利用できる/XMLHttpRequestにてsetRequestHeaderメソッドが利用できる/setRequestHeaderメソッドにてUserAgentなどのリクエストヘッダが書き換えできる"

[Hash]

この辺の話おもしろい。Rails本終わったら次は徳丸本をやる。"かんたんログインという手法が、もともと暗号学等の理論的な根拠に裏付けられておらず、携帯電話網という閉じた世界でのみ通用する手法である"

[itochan]

ケータイ実機のブラウザ側での対処なので、ネット側は非セキュアなまま。　ソフトウェアの上書きなど改造ケータイを利用されないことが前提の対処

[py0n]

どうなんだろう。

[kamip]

javascriptを使って簡単ログインのなりすますぃ

[d6rkaiz]

なりすましの可能性の指摘

[mongrelP]

実はJavaScriptこそ黒船だったんだよ！Ω ΩΩ

[mollifier]

HTTPヘッダにある平文データを信用してユーザー認証してはいけない(なりすましの危険がある)。当たり前だけど大事。

[ezil]

実はJavaScriptこそ黒船だったんだよ！Ω ΩΩ< な、なんだってー!!＼これでPCと同じように構築できるなら幸せになれると思うんだ…けどそうはならない…

[matsutakegohan1]

こんな簡単なものだとしたらなぜドコモはリリースまでに誰も気がつかなかったのか？　コンテンツ屋の自分らはモバイルのポリシーをPCと同等まで上げて様々な可能性をつぶしていた。

[youhey]

iモードブラウザ2.0のJavaScriptとXSS

[Rewish]

携帯にもパスワード保存機能を付けて下さい。簡単ログインは廃止。

[kai_kuchiki]

まあそんなところだろうとは思っていたが。ユーザー提供として簡単ログイン抜きはもはやありえないし、セキュアでもあるべきだし。未だベターな解決策模索中。

[yokoyamen]

がんばってまとめてあるなあ

[mumincacao]

XMLHttpRequest も使えるよってはじめてきいたときからちょっときけんなかおりがしてたけど・・・そういわれてみると setRequestHeader がの～が～どだとかなりきけんがあぶないにう（´・ω・｀；【みかん

[araishi]

携帯のセキュリティについて

[orangevtr]

という訳で3キャリア一斉の「かんたんログインは推奨しません」のコメント希望。ていうかIP制限しなきゃいかんというのもいい加減やめようぜ

[YAK]

正直、この程度のレベルの話を仮にも天下のNTTが見通さずにXMLHttpRequestを使えるようにしたとは思えない。

[coco-ema]

i-mode2.0 javascript

[fuktommy]

XSSがなくてもブックマークレットが使えれば、攻撃できるんじゃないかしら。

[ninnin2]

これは良エントリー。問題提議も対策も適切で現実的。ケータイ開発者は皆読むべき。

[MinazukiBakera]

あとで。

[te2u]

簡単ログインは、セキュリティ的な問題が起きるので、なくしたいとは思う。しかし、実際にサービスを運営すると、そうできないこともわかる。携帯電話の特性上、このような仕組みはユーザから求められる。

[monjudoh]

『少なくとも「いつでもかんたんログインを捨てられる」状態にしておくことが、ユーザも、Webサイト運営者自身をも守る最低限の取り組みであると、私は考える』

[tokuhirom]

ふーむ

[nihen]

他キャリアへのなりすましは、考慮してないサイトが大半な気がする・・・。

[bull2]

鎖国は終了

[mtakeshidpostjp]

5月28にはてなダイアリーに書いた日記「i-mode2.0は前途多難」にて、今年のNTTドコモの夏モデルP-07AにてJavaScript機能が利用停止されたことを指摘した。同日付のNTTドコモ社のリリースによると、「ソフトウェア更新に伴い、高

[i_ogi]

IPアドレスのチェックを事業者の判定まではせず、単に「携帯電話からのリクエスト」であることのみを確認する場合がある

[hasegawayosuke]

簡単ログインみたいな手抜きをサポートするのなら、それ以外の部分で制約を大きくしとかないとね。ってのがこれからのモバイルの常識で流儀なんだろな。