ガラケーでもOAuthに対応できそうな話
Hiromitsu Takagi @HiromitsuTakagi @mb4sqjp http://www.mb4sq.jp/login ケータイ版の「初めて利用する方」で、OAuthを使うとあるのに他サイトのIDとパスワードを入力させるのはなぜですか?「OAuth認証」ボタンの上に他サイトのパスワード入力欄があるのはおかしくないですか? 2010-05-09 00:01:40 モバイルフォースクエア @mb4sqjp @HiromitsuTakagi ご指摘ごもっともです。始めはOAuthで実装していたのですが、現在はxAuth(4sqではAuth Exchange)で認証しています。※4sqのoauth画面が一部の機種だと文字化けするため。 説明文早めに直しておきます。 2010-05-09 00:13:19
しゃおの雑記帳 - 携帯サイト開発者のためのセキュリティ再入門
通勤電車で周囲を見渡せば大抵数台のスマートフォンを見つけられるようなご時世ですが、現実は日本の伝統的な携帯電話が多数派です。今もそんなガラケー向けWebサイトの開発案件は衰えることありません。 そんなガラケーサイトの開発者の間で話題になっている「セキュリティ対策」について、ガラケー界の現状をふまえた上でまとめてみます。 携帯電話のIPからのアクセスであることを前提としたセキュリティ対策はすでに無駄 ソフトバンク3Gのプロクシ情報は検索すればすぐに出てきます イー・モバイルのEMnetに至っては公開情報です サイトのソースもFlashのswfも画像もPCから丸見えだと思うべきです 危険な「かんたんログイン」 かんたんログインで使う契約者IDはあなたのサイトにも他のサイトにも同じものが送出されてます 悪意をもった人が他人の契約者IDをヘッダに乗せてかんたんログインのアクションを呼び出したらどう
OpenIDで携帯もPCもシームレスに、実証実験結果を報告 - @IT
2010/03/26 認証基盤連携フォーラム 実証実験ワーキンググループは3月26日、OpenIDを用い、携帯電話とPCをまたいだシームレスな認証や属性連携に関する実験、「認証基盤連携による認基盤間の相互運用性確保の実証」の結果を明らかにした。Artifact Bindingと呼ばれる手法を用いることで、携帯電話からも問題なくOpenIDに基づく認証を行えることが実証されたという。 OpenIDは、1つのIDで複数のインターネットサービスを利用できるようにするための仕様だ。いったん認証を済ませるだけで、ほかのサービスへのシングルサインオンが可能になるほか、ユーザーの承認に応じて氏名や住所、クレジットカード番号といった属性情報を受け渡し、利便性の高いサービスを受けられるようにする。ユーザーから見れば、サービスごとに個別に認証を行う手間を省けるうえ、自分の情報をどんな事業者に開示するかをコント
HASHコンサルティング徳丸浩の日記 - 自分でできる - 「かんたんログイン」DNSリバインディング耐性のチェック方法
■「かんたんログイン」DNSリバインディング耐性のチェック方法 このエントリでは、ケータイ向けWebサイトがDNSリバインディング攻撃に対する防御耐性があるかどうかをチェックする方法を説明します。ケータイ向けに「かんたんログイン」機能をもつWebサイトをチェック対象とします。 基本的な前提として、検査対象のWebサイトの管理者が自ら検査することを想定しています。 用意するもの チェック対象のWebアプリケーション(かんたんログイン機能あり) 携帯電話(かんたんログイン可能なもの) インターネット接続されたパソコン ステップ0:IPアドレスの調査 検査対象のWebサーバーのIPアドレスを調べます。一例として、検査対象サーバーのホスト名が mobile.example.com の場合、以下のコマンドでIPアドレスを調べることができます。 C:>nslookup mobile.example.
高木浩光@自宅の日記 - 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。
■ 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。 今月中旬のこと。私は2テラのハードディスクを買溜めするため秋葉原の街に出た。しかし、どの店が最安か調べずに出たため、やむなく携帯電話で調べることにし、価格.comのサイトを探した。すると、携帯電話用のサイト m.kakaku.com があり、私は初めてそこを使った。 サイトはとても使いやすく、すぐに意中の製品を見つけることができた。が、ここで、画面に「履歴」というリンクがあることに気づいた。「履歴」の画面に入ると、なんと、閲覧した製品が既に記録されていた。ログインしていないのに。いや、アカウントさえないのに。 これはたしかに便利な機能ではあるが、契約者固有IDを用いて実現されていることにギョッとした。同様の機能は普通のPCのインターネットでもcookieを使って実現できるわけだけども、契約者固有IDの取得と保管は、
ソフトバンク携帯の端末シリアル番号リサイクル問題 - Narusaseの日記 -ハニポってどうよ?(仮)-
ソフトバンクの携帯には端末自体に紐付く端末シリアル番号と契約に紐付くUID(x-jphone-uid)が存在しています。 このうち端末シリアル番号は「SN************」の様なフォーマットで表され、固有の値であり同一の値は存在しないと言われています。 しかし、この端末シリアル番号は「あくまでユニークな値」ではありますが、「再利用されない」ものではないらしいと言うことが最近解りました。 端末シリアル番号は実例として修理前後で端末シリアル番号が異なる場合があることが確認されています。 これは推測になるのですが、その際、修理済みの同型携帯(あるいは端末シリアル番号がリサイクルされた新品)をバックするような仕組みになっているようです。(あるいは、修理不可能な携帯の再利用可能な部分のみ再利用している可能性もあります) これによって、以前ほかの誰かが使っていた端末シリアル番号が割り当てられた
徳丸浩の日記 - iモードブラウザ2.0のXMLHttpRequestでPOSTデータの扱いが困難になった
_iモードブラウザ2.0のXMLHttpRequestでPOSTデータの扱いが困難になった このエントリでは、iモードブラウザ2.0の制限により、XMLHttpRequestでPOSTメソッドの利用が困難になっていることを確認したので報告する。 iモードブラウザ2.0のJavaScriptを試していて、POSTメソッドでデータが渡せていないことに気がついた。以下のようなプログラムで検証してみた。 【post.html】 <html> <head> <script> function test() { try { var requester = new XMLHttpRequest(); requester.open('POST', '/dumppost.php', true); requester.onreadystatechange = function() { if (requeste
style="display:none"にするとauはフォームの値を送信しない - スコトプリゴニエフスク通信
タイトルのとおりなんだけれども、 form method="post" action="."> div style="display:none">input type="hidden" name="csrfmiddlewaretoken" value="xxxxx" />div> input id="id_name" type="text" name="name" value="" maxlength="15" />br /> input type="submit" value="Submit" /> form> のようなHTMLを書くと、auのブラウザはcsrfmiddlewaretokenというフィールドの値を送信しないようだ。少なくともW52CAで確認。これはちょっとハマッた。type="hidden"のinput要素をdisplay:noneのブロックで囲むなんてあんまりしないかな
かんたんログインがよりかんたんになりました - ポケットはてな日記
本日、ポケットはてな (モバイル版はてな) のかんたんログイン操作の改善を行いました。主な変更点は以下となります。 ログインの流れを見直し、ログイン操作を快適に行えるよう改善しました はてなが発行している docomo 端末向けセッションキーのセキュリティレベルの向上を行いました ユーザー登録が簡単になりました (1) ログイン操作を快適に行えるよう改善しました これまでのかんたんログインの流れを見直し、以下の変更を行いました ログイン画面を改善し、かんたんログイン操作までの流れを整えました かんたんログインを有効にする操作を、パスワードログイン時にチェックボックスで同時に行えるようになりました。(これまではログインした後に Myはてなから設定する必要があり、手順が煩雑でした) ほかのはてなIDやほかの端末でかんたんログイン設定を設定しなおすにあたっても、パスワードログイン時のチェックボッ
「モバイルにWebKitは存在しない」 - by edvakf in hatena
QuirksBlog: There is no WebKit on Mobile The Great WebKit Comparison Table Quirks Blog の PPK さんが、複数の WebKit 系エンジンのブラウザで特定の機能がサポートされているかをまとめて表にしてくれた。 僕としては、けっこうショッキングだった。"There is no WebKit on Mobile" というタイトルの意味は、それぞれのブラウザ(モバイル端末)の WebKit のバージョンに違いがありすぎて、"The WebKit" と呼べるものは存在しないということ。 「携帯市場では WebKit が既にデファクトスタンダードになり、それだけをターゲットに開発すればいい」という意見が多く見られるようになってきたが、そこにあるのは "Many WebKits" だよ、と。 今のままだと携帯ブラウ
ke-tai.org > Blog Archive > はてなブックマークモバイル版の脆弱性とその対策について
はてなブックマークモバイル版の脆弱性とその対策について Tweet 2009/10/2 金曜日 matsui Posted in ニュース, 記事紹介・リンク | 3 Comments » 先日はてなブックーマークモバイル版で、他人になりすましてアクセスできるという脆弱性があったのですが、 はてなからそれに対する公式なコメントが出ているようです。 原因とその対策についても触れられており、モバイルサイトを作成している方には参考になると思われるため、ご紹介させていただきます。 → はてなブックマーク日記 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 [hatena.ne.jp] ご存知のない方のために軽く説明すると、9月下旬にid:guldeen氏のブックマークコメントが、何者かに改ざんされるという事件がありました。 当初、パスワードが盗まれたのでは?という話
into_the_blueのブックマーク / 2009年10月1日 - はてなブックマーク
キーボードショートカット一覧 j次のブックマーク k前のブックマーク lあとで読む eコメント一覧を開く oページを開く ✕
はてなブックマーク開発ブログ
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。2024年2月のトップ50です*1。 順位 タイトル 1位 マンションリフォーム虎の巻 2位 死ぬほど嫌でした|佐藤秀峰 3位 「面倒なことはChatGPTにやらせよう」の全プロンプトを実行した配信のリンクを整理しました|カレーちゃん 4位 管理職必読 順番に読むと理解が深まる「マネジメントの名著」11冊 | 日経BOOKプラス 5位 メルカリで値段の「¥マーク」を小さくしたら購入率が伸びた理由、ペイディがサービス名を「カタカナ表記」にする理由など、プロダクトのマーケ施策まとめ30(2023)|アプリマーケティング研究所 6位 7年適当に自炊してきて調味料について思ったことを書く 7位 ウクライナ軍に入隊したアジャイルコーチが、さまざまなメソッドを駆使して中隊長としてのリーダーシップを実現した話(
こらない - のりかえ顔メーカーで携帯電話番号
ソフトバンクが行なっている「のりかえ顔メーカー」というサービス。 電話番号を入力すると、似顔絵を書いてくれて、それをブログ等に貼れる、というもの。 →のりかえ顔メーカー Google ブログ検索で「のりかえ顔メーカー」を検索すると、いろんな似顔絵が見れる。 →のりかえ顔メーカー - Google ブログ検索 が、ちょっと待った。 試しに、「0000-0000」「0000-0001」「0000-0002」…って感じで順番に番号を入れてみたわけだけど。 これ、どうやら、1桁目の数字が「髪型上部」、2桁目が「髪型下部」、3桁目が「目」、以降「あごの輪郭」「鼻」「口」「頭の付属品」「頬」に結びついてて、それぞれゼロから9までの10個のバリエーションが用意されてるみたい。 つまり、似顔絵を見れば、その人の番号が分かる。 …のかどうかは確かめてないです。 ごめんなさい。 そうだったら面白いことになるな
CNET Japan
人気の記事 11ビットコインが1000万円を突破--史上初 2024年03月05日 2計算アプリ「Photomath」、グーグルのアプリとして公式に公開 2024年03月04日 3楽天モバイル、プラチナバンドを「都市部から展開」--ノキア製無線機を採用 2024年02月27日 4アップル、M3チップ搭載MacBook Airを発表--2台の外部ディスプレイに対応 2024年03月05日 5コンテンツから見える千葉県の多様な合宿・研修ワーケーションの魅力とは 2024年03月01日 6「Pixel」、Ultra HDR写真と10ビットHDR動画をInstagramに投稿可能に 2024年03月05日 7EU、アップルに約2900億円の制裁金--「App Store」での競争阻害で 2024年03月05日 8「アイマス ミリオンライブ!」10thライブツアーAct-4で見た“39人が彩った10
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.hash-c.co.jp/archive/wasf2010.html
Amazon.co.jp: Ruby on Rails携帯サイト開発技法: 伊藤祐策, 富田陽介, 三上喜之: 本
TechCrunch | Startup and Technology News
freeml(フリーエムエル)|新しい生活をはじめる羅針盤
http://news.livedoor.com/article/detail/4287140/