iPhone 5に仕込まれたアフィリンクに携帯ショップの暗黒面を垣間みた件:CloseBox & OpenPod:オルタナティブ・ブログ
Mac、iPhone、iPod、歌声合成、DTM、楽器、各種ガジェット、メディアなどの情報・雑感などなど iPhone 5を地元(石神井)のauショップで購入。ウキウキして写真撮りながら家に帰ってきた。 iPhone 5の2画面目をあけると、見知らぬアイコンが4つ。とりあえずフォルダにまとめたら、「ブックマーク」の名前が。はて? アイコンの1つをタップすると、アプリではなくてSafariが開く。ほかのアイコンもほぼ同じURLを踏む。アフィリンクくさい。そこで設定アプリを立ち上げる。いきなり構成プロファイルの画面になっていて、「AFNET CONFIG」というプロファイルが仕込まれていることが分かる。 その中身は次の画面のとおり。4つのブックマーク(Webクリップ)が仕込まれているのだ。この構成ファイルはCAモバイルね。覚えておこう。 ネットで調べると、@no_softbank氏のブログに行
アップルのバグで他人のiPhone丸見えです
あれ? この御方のiPhoneで送受信されてるiMessageがなぜかギズに丸見え...仕事もセックスライフも住所も全部詳しくわかってしまいました。アップルさん、これは早く直した方がいいんじゃないでしょうか...? 話は単純です。ある男の子のiPhone 4が調子悪くなったので、ママ(ギズのお友だち)がアップルストアで修理してもらったんですね、子どもが学校行ってる間に。そう、学校。大学とか院とかじゃなく、18歳未満が通う学校です。で、修理終わって戻ってきたら携帯の調子はバッチリだったのだけど、ど~したわけかこの見知らぬ男性ウィズ(Wiz)さんの私生活がダラダラ垂れ流しのポータル状態になっていたのです! 携帯を何度リセットしてもダメ。 自分の情報を入れてもダメ。 Wizさんが送受信するiMessageは片っ端から子どもの携帯に流れてきます。まるで他人様の携帯を自分の携帯と勘違いしてるみたいに
スマートフォンアプリケーションでSSLを使わないのは脆弱性か
このエントリでは、スマートフォンアプリケーションの通信暗号化の必要性について議論します。 はじめに 先日、スマートフォンアプリケーションのセキュリティに関するセミナーを聴講しました(2月8日追記。講演者からの依頼によりセミナーのサイトへのリンクをもうけました)。この際に、スマートフォンアプリケーションの脅威に対する共通認識がまだないという課題を改めて感じました。その課題を痛感できたという点で、セミナーは私にとっては有益でした。 このため、当ブログではスマートフォンアプリケーションの話題をあまり取り上げていませんでしたが、今後は、とりあげようと思います。まずは、スマートフォンアプリケーションでは暗号化を必須とするべきかという話題です。この話題は、前記セミナーでもとりあげられていました。 暗号化の目的は何か まず、暗号化の必要性を論じるためには、暗号化の目的を明確にする必要があります。前記セミ
高木浩光@自宅の日記 - spモードはなぜIPアドレスに頼らざるを得なかったか
■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,
SPモードがiモードを置き換えられない根源的な理由 : 404 Blog Not Found
2011年12月30日11:45 カテゴリNewsiTech SPモードがiモードを置き換えられない根源的な理由 なんという毒茸。 高木浩光@自宅の日記 - spモードはなぜIPアドレスに頼らざるを得なかったか NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に
防備を固める OS X と、無防備な Android と
Forbes の記事によると、アップルがOS X 用のアプリにウィルスやマルウェアの混入を防止する仕組み(Sandbox)を導入するらしい。そしてiOSと同じく、最終的には iTunes ストアからしかアプリをインストールできないようにするという。 反対している開発者もいるようだが、私は逆に遅すぎるぐらいだと思う。Windowsのようにアンチウィルス・ソフトウェアをインストールしないと安心して使えないパソコンなんてどう考えても時代遅れだ。マイクロソフトも同じような仕組みを Windows8 に導入するようだし、私としては大歓迎だ。 同じ理由で、Androidの最大の弱点はセキュリティにあると私は見ている。すでにAndroidアプリの数多くがウィルスに侵されているというデータもあるし(参照)、実質的に、Windowsパソコンと同じように「アンチウィルス・ソフトウェアをインストールしないと安心
なぜIMEIの利用が問題視されたのか--個人情報とプライバシーをめぐって
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 携帯電話に搭載されている固有IDが波紋を呼んでいる。 問題の発端は、NTTドコモが開発者向けに開示した情報だった。公開されたのは、同社のスマートフォン向けコンテンツ開発に関する情報で、ドコモがスマートフォンにプリインストールする「メディアプレイヤー」アプリが、動画を再生する際にIMEIと呼ばれる端末一意の固有IDを送信する、というものだった。 この記述自体はその後、マイクロソフトの「PlayReady」と呼ばれるDRMを使った動画の再生時に「ライセンスが確認できない場合」のみ送信され、1回ごとにユーザーに送信の可否を問うダイアログが出る仕組みであると説明が追記(修正)され、問題自体は終息している。 しかし、これをきっかけに、スマートフォ
Mobile Meを使ってiPhoneを探してみた - 小澤職場・現場体験記
私はJustGivingにおいて 「100箇所の職場体験、現場体験してきます」 という挑戦を通じてピースウィンズ・ジャパンへの寄付を集めています。 今回はその27箇所目となります。過去の体験はこちら。 ※職場体験をなんでしようと思ったのか、はこちらを御覧ください ※facebookのファンページはこちら 大変だ、iPhoneがなくなった! 友達の友達の話。仮にAさんとしましょう。 Aさん、朝起きたら、財布もiPhoneもない。体は傷だらけ。 うーむ、どうやら昨晩飲み過ぎて記憶もない。弱った。 これが今回のスタート。まさにリアルハングオーバー(注:私が大好きな映画)状態。 まず最初にすべきこと 警察ですね。 遺失物の届け出をするわけです。 これをしておくことで、のちのち警察が動いてくれやすくなりますので必ずしておきましょうね。 Aさんももちろん警察に届出をしたそうです。 さて、どうするか で
私はいかにしてソフトバンク端末60機種のJavaScriptを検証したか - ockeghem's blog
昨日のソフトバンクの非公式JavaScript対応の調査結果 | 徳丸浩の日記で報告したように、昨年5月に、ソフトバンク60機種の検証を行い、JavaScript対応の状況などを調査しました。当時はまだ公式なJavaScript対応機種はない状態でしたが、既にほとんどの端末が *非公式に* JavaScriptに対応していました。 このエントリでは、検証の様子を報告します。 なぜJavaScript対応状況を調査したか http://www.hash-c.co.jp/info/20091124.htmlを公表した前後に、とある方(この方)から、ソフトバンクのケータイでもJavaScriptが動作すると伺いました(参考のやりとり)。XMLHttpRequestも含めてJavaScrptが動くと教えていただいた932SHを私も購入して調べたところ、以下が判明しました。 確かにJavaScrip
Androidのウィルス問題と個人の便利さのトレードオフ - FutureInsight.info
Androidに急増するマルウェア、ウィルスへの対策としてドコモがマカフィーと組んでセキュリティアプリを無償提供するようだ。 Android向け無料セキュリティアプリ「ドコモ あんしんスキャン」 - ケータイ Watch こういう問題に早めに手を打つのはいいことだとおもうのだけど、Androidのマニュフェストはやはり機能しなかったか。Androidにはマニュフェストという面白い仕組みがあり、そのアプリケーションがアクセスする情報をアプリケーション自体がまず宣言して、宣言された情報以外にアプリケーションは取得できなくなる機能がある。例えば、電話帳の情報などはよほどのことがない限りアプリケーションにはアクセスさせたくないと思うので、この機能を使えばユーザの判断で自分の情報を守ることもマニュフェストに記載された情報から可能になる、というGoogleらしい読みがあった。アンドロイドマーケットの各
実は厄介、ケータイWebのセッション管理
実は厄介、ケータイWebのセッション管理:再考・ケータイWebのセキュリティ(3)(1/3 ページ) “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 「Cookieを使えない端末」でセッションを管理する方法は? 第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。 今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション(ケータイWeb)のセッション管理は、かんたんログインよりも対策が難しく、厄介な問
I’mOK 子供が自分の居場所を親に教えたくなるアプリ
I’mOK やはりこのニーズあるんですよね。 日本だと特にという感じもします。 参考までに YellowBrck 子供の安否確認とクーポンを組み合わせたサービス Life360 チェックインは家族の安否用に 元記事はこちら I’mOK raises $250,000 to help parents track kids without nagging <翻訳ここから> 親であれば、どこにいたとしても子供と一緒にチェックインして欲しい と思うものだ。でも子供はたいていチェックインするの忘れてしまう。 それは親を悩ませるし、子供はしばしば怒られる。 Matthew Brombergは子供を親とつないでおくために口うるさく 言わなくてもいい良い方法を考えついた。Matthew Brombergが 見つけたのがI'mOK。これはモバイルアプリを作ったスタートアップだ。 子供たちは親と連絡をとってい
間違いだらけの「かんたんログイン」実装法
今回は、そのかんたんログインの問題点について説明します。 「契約者固有ID」を用いるかんたんログイン かんたんログインとは、携帯電話の「契約者固有ID」を用いたログイン手法です。 第1回で説明したように、携帯電話のブラウザのリクエストヘッダには契約者固有IDと呼ばれるIDを付けることができます。契約者固有IDは、携帯電話事業者によって詳細は異なりますが、すべての携帯電話事業者が対応しています。 図1は、NTTドコモの携帯電話がサポートしている契約者固有IDである「iモードID」がサーバに送信される様子です。この情報は、ユーザーがそれと意識することなく送信されます。携帯電話のかんたんログインとは、契約者固有IDのみを用いて認証を行い、ログイン機能を実現することです。 かんたんログインは、ベーシック認証のようにIDとパスワードを管理する必要もなく、Cookieのように対応する端末を考慮する手間
w3cもケータイ認証には困惑している件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 以前Twitterでもツイートしてたんだけど一部誤解があったのでこちらでまとめてみる。 Global Authoring Practices for the Mobile Web (Luca Passani) http://www.passani.it/gap/ 上記をもって「w3cが個体識別番号に駄目出し」としていたんだけど、多少事情が違った。 実は上記には元になる対象文書がある。それがw3cのベストプラクティスだ。 Mobile Web Best Practices 1.0 http://
「Dropbox」すごい使い方のマニュアル - ネタフル
最近「Dropbox」を始めた人も増えたように思いますので「The Ultimate Dropbox Toolkit & Guide」というドキュメントをご紹介です。 「Dropbox」の基本的な使い方から、一歩進んだTipsなど、様々な「すごい使い方」が紹介されています。 「Dropbox」はシンプルなオンラインストレージサービスなのですが、工夫次第でいろいろ使える、というのがよく分かります。 Basic Tips List ・Invite Others to Get Free Space (up to 8 10 GB) ・Local Area Network Sync ・Selective Folder Sync ・Read Books on Your Mobile ・Force Download Files ・Distribute Apps Advanced Tips List ・S
iモードブラウザ2.0のJavaScriptではiframe内のコンテンツを読み出せない - ockeghem's blog
iモードブラウザ2.0では、同一ドメインであっても、iframe内のコンテンツがJavaScriptにより読み出せないよう制限が掛かっていることを確認しましたので報告します。 【追記】元の内容には、重大な事実誤認がありました。正確には、同一ドメイン・同一ディレクトリであれば読み出せます。詳しくは追記2をご覧ください。 きっかけ ケータイtwitter(twtr.jp)においてDNS Rebinding攻撃に対する脆弱性を発見・通報し、即座に修正された - 徳丸浩の日記(2010-02-22)にて既に紹介したように、twitter.comの日本のケータイ向けフロントエンドであるtwtr.jpにDNSリバインディング脆弱性があったことを確認・報告し、直ちに修正されました。このエントリの中に、以下のように書いています。 すぐに確認作業が終わるだろうと思っていたが、意外なところで失敗した。ログイン
オレ標準JavaScript勉強会発表資料 - ockeghem's blog
Loading...での発表に用いた資料です。 お役に立つかどうかは心許ないのですが、ドキュメントの一部を希望されていた方もおられましたので、slideshareで公開します。 ガラケーで楽しむオレJSの勧めView more presentations from Hiroshi Tokumaru.
携帯電話事業者に学ぶ「XSS対策」 - ockeghem's blog
NTTドコモとソフトバンクモバイルは、フィーチャーフォン(いわゆるガラケー)にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている(しようとしている)挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。 NTTドコモに学ぶ「XSS対策」まず、サンプルとして以下のようなXSS脆弱なスクリプトを用意します。 <?php session_start(); ?> <body> こんにちは<?php echo $_GET['p']; ?>さん </body>これを以下のURLで起動すると、IE7では下図のような表示になります。 []http://example.com/xss01.php?p=山田<scrip
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AndroidとiOS、プライバシーを丸裸にするソフトが仕込まれていたことが発覚 提供元は「携帯事業者とメーカーの品質管理のため」と主張
強化された@i.softbank.jpの迷惑メールブロック機能、設定方法を解説いたします! | AppBank
