実は厄介、ケータイWebのセッション管理
実は厄介、ケータイWebのセッション管理:再考・ケータイWebのセキュリティ(3)(1/3 ページ) “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 「Cookieを使えない端末」でセッションを管理する方法は? 第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。 今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション(ケータイWeb)のセッション管理は、かんたんログインよりも対策が難しく、厄介な問
yebo blog: iOS 4のハードウェア暗号がクラックされる
2011/05/26 iOS 4のハードウェア暗号がクラックされる iOS 4に対応したデバイスにはハードウェア暗号化機能が入っており、パスコードを有効にすることでユーザデータはデバイス固有のUIDから計算された鍵を使って、256ビットAESで暗号化される。ロシアのElcomSoftがこの暗号化をクラックしたとの事[geek.com]。彼らが開発した「Phone Password Breaker」ソフトウェアを使う事で、それが可能になるという。どのようにハックするかは説明していないが、ユーザが設定するパスコードがキーになっているらしい。この設定が4つの数字の場合は、たったの10000のパターンしか存在しないため、ブルートフォース攻撃で10〜40分で解読できるとの事だ。パスコードが長い場合も、"escrow keys"と呼ばれるハッキングでバイパスする事が可能との事。ソフトウェアは$128(
ソニー、“想定内”の攻撃を防げず
ソニーとソニー・コンピュータエンタテインメントは5月15日、個人情報流出のためサービスを停止していたPlayStation Network(PSN)とQriocityを、米欧で一部再開した。だが一方で、情報セキュリティの専門家からはソニーの対策不足を疑問視する声が上がり始めた(図)。流出の最大の原因は「既知の脆弱性」(ソニー)を放置したこと。専門家からすれば“想定内”の攻撃にもかかわらず、ソニーは防衛策を怠っていた。 焦点の一つは「ログの有無」だ。PSNなどがサイバー攻撃を受けたのは米国時間の4月17日から19日。ソニーは同4月20日に問題を認識してサービスを停止したが、公表までに1週間を要した。セキュリティ対策に詳しいS&Jコンサルティングの三輪信雄社長は、時間がかかった理由を「サーバーのログを二重化しておらず、攻撃手法や被害実態が把握できなかったのではないか」とみる。 個人情報が流出し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「FX(外国為替証拠金取引)システム専用セキュリティ診断」サービスの提供を開始~金融システム特有の脆弱性を発見する特化型診断サービスの第1弾~ | ニュースリリース | 情報セキュリティのNRIセキュア
