Hiromitsu Takagi @HiromitsuTakagi @mb4sqjp http://www.mb4sq.jp/login ケータイ版の「初めて利用する方」で、OAuthを使うとあるのに他サイトのIDとパスワードを入力させるのはなぜですか?「OAuth認証」ボタンの上に他サイトのパスワード入力欄があるのはおかしくないですか? 2010-05-09 00:01:40 モバイルフォースクエア @mb4sqjp @HiromitsuTakagi ご指摘ごもっともです。始めはOAuthで実装していたのですが、現在はxAuth(4sqではAuth Exchange)で認証しています。※4sqのoauth画面が一部の機種だと文字化けするため。 説明文早めに直しておきます。 2010-05-09 00:13:19
通勤電車で周囲を見渡せば大抵数台のスマートフォンを見つけられるようなご時世ですが、現実は日本の伝統的な携帯電話が多数派です。今もそんなガラケー向けWebサイトの開発案件は衰えることありません。 そんなガラケーサイトの開発者の間で話題になっている「セキュリティ対策」について、ガラケー界の現状をふまえた上でまとめてみます。 携帯電話のIPからのアクセスであることを前提としたセキュリティ対策はすでに無駄 ソフトバンク3Gのプロクシ情報は検索すればすぐに出てきます イー・モバイルのEMnetに至っては公開情報です サイトのソースもFlashのswfも画像もPCから丸見えだと思うべきです 危険な「かんたんログイン」 かんたんログインで使う契約者IDはあなたのサイトにも他のサイトにも同じものが送出されてます 悪意をもった人が他人の契約者IDをヘッダに乗せてかんたんログインのアクションを呼び出したらどう
2010/03/26 認証基盤連携フォーラム 実証実験ワーキンググループは3月26日、OpenIDを用い、携帯電話とPCをまたいだシームレスな認証や属性連携に関する実験、「認証基盤連携による認基盤間の相互運用性確保の実証」の結果を明らかにした。Artifact Bindingと呼ばれる手法を用いることで、携帯電話からも問題なくOpenIDに基づく認証を行えることが実証されたという。 OpenIDは、1つのIDで複数のインターネットサービスを利用できるようにするための仕様だ。いったん認証を済ませるだけで、ほかのサービスへのシングルサインオンが可能になるほか、ユーザーの承認に応じて氏名や住所、クレジットカード番号といった属性情報を受け渡し、利便性の高いサービスを受けられるようにする。ユーザーから見れば、サービスごとに個別に認証を行う手間を省けるうえ、自分の情報をどんな事業者に開示するかをコント
■「かんたんログイン」DNSリバインディング耐性のチェック方法 このエントリでは、ケータイ向けWebサイトがDNSリバインディング攻撃に対する防御耐性があるかどうかをチェックする方法を説明します。ケータイ向けに「かんたんログイン」機能をもつWebサイトをチェック対象とします。 基本的な前提として、検査対象のWebサイトの管理者が自ら検査することを想定しています。 用意するもの チェック対象のWebアプリケーション(かんたんログイン機能あり) 携帯電話(かんたんログイン可能なもの) インターネット接続されたパソコン ステップ0:IPアドレスの調査 検査対象のWebサーバーのIPアドレスを調べます。一例として、検査対象サーバーのホスト名が mobile.example.com の場合、以下のコマンドでIPアドレスを調べることができます。 C:>nslookup mobile.example.
■ 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。 今月中旬のこと。私は2テラのハードディスクを買溜めするため秋葉原の街に出た。しかし、どの店が最安か調べずに出たため、やむなく携帯電話で調べることにし、価格.comのサイトを探した。すると、携帯電話用のサイト m.kakaku.com があり、私は初めてそこを使った。 サイトはとても使いやすく、すぐに意中の製品を見つけることができた。が、ここで、画面に「履歴」というリンクがあることに気づいた。「履歴」の画面に入ると、なんと、閲覧した製品が既に記録されていた。ログインしていないのに。いや、アカウントさえないのに。 これはたしかに便利な機能ではあるが、契約者固有IDを用いて実現されていることにギョッとした。同様の機能は普通のPCのインターネットでもcookieを使って実現できるわけだけども、契約者固有IDの取得と保管は、
ソフトバンクの携帯には端末自体に紐付く端末シリアル番号と契約に紐付くUID(x-jphone-uid)が存在しています。 このうち端末シリアル番号は「SN************」の様なフォーマットで表され、固有の値であり同一の値は存在しないと言われています。 しかし、この端末シリアル番号は「あくまでユニークな値」ではありますが、「再利用されない」ものではないらしいと言うことが最近解りました。 端末シリアル番号は実例として修理前後で端末シリアル番号が異なる場合があることが確認されています。 これは推測になるのですが、その際、修理済みの同型携帯(あるいは端末シリアル番号がリサイクルされた新品)をバックするような仕組みになっているようです。(あるいは、修理不可能な携帯の再利用可能な部分のみ再利用している可能性もあります) これによって、以前ほかの誰かが使っていた端末シリアル番号が割り当てられた
_iモードブラウザ2.0のXMLHttpRequestでPOSTデータの扱いが困難になった このエントリでは、iモードブラウザ2.0の制限により、XMLHttpRequestでPOSTメソッドの利用が困難になっていることを確認したので報告する。 iモードブラウザ2.0のJavaScriptを試していて、POSTメソッドでデータが渡せていないことに気がついた。以下のようなプログラムで検証してみた。 【post.html】 <html> <head> <script> function test() { try { var requester = new XMLHttpRequest(); requester.open('POST', '/dumppost.php', true); requester.onreadystatechange = function() { if (requeste
タイトルのとおりなんだけれども、 form method="post" action="."> div style="display:none">input type="hidden" name="csrfmiddlewaretoken" value="xxxxx" />div> input id="id_name" type="text" name="name" value="" maxlength="15" />br /> input type="submit" value="Submit" /> form> のようなHTMLを書くと、auのブラウザはcsrfmiddlewaretokenというフィールドの値を送信しないようだ。少なくともW52CAで確認。これはちょっとハマッた。type="hidden"のinput要素をdisplay:noneのブロックで囲むなんてあんまりしないかな
本日、ポケットはてな (モバイル版はてな) のかんたんログイン操作の改善を行いました。主な変更点は以下となります。 ログインの流れを見直し、ログイン操作を快適に行えるよう改善しました はてなが発行している docomo 端末向けセッションキーのセキュリティレベルの向上を行いました ユーザー登録が簡単になりました (1) ログイン操作を快適に行えるよう改善しました これまでのかんたんログインの流れを見直し、以下の変更を行いました ログイン画面を改善し、かんたんログイン操作までの流れを整えました かんたんログインを有効にする操作を、パスワードログイン時にチェックボックスで同時に行えるようになりました。(これまではログインした後に Myはてなから設定する必要があり、手順が煩雑でした) ほかのはてなIDやほかの端末でかんたんログイン設定を設定しなおすにあたっても、パスワードログイン時のチェックボッ
QuirksBlog: There is no WebKit on Mobile The Great WebKit Comparison Table Quirks Blog の PPK さんが、複数の WebKit 系エンジンのブラウザで特定の機能がサポートされているかをまとめて表にしてくれた。 僕としては、けっこうショッキングだった。"There is no WebKit on Mobile" というタイトルの意味は、それぞれのブラウザ(モバイル端末)の WebKit のバージョンに違いがありすぎて、"The WebKit" と呼べるものは存在しないということ。 「携帯市場では WebKit が既にデファクトスタンダードになり、それだけをターゲットに開発すればいい」という意見が多く見られるようになってきたが、そこにあるのは "Many WebKits" だよ、と。 今のままだと携帯ブラウ
はてなブックマークモバイル版の脆弱性とその対策について Tweet 2009/10/2 金曜日 matsui Posted in ニュース, 記事紹介・リンク | 3 Comments » 先日はてなブックーマークモバイル版で、他人になりすましてアクセスできるという脆弱性があったのですが、 はてなからそれに対する公式なコメントが出ているようです。 原因とその対策についても触れられており、モバイルサイトを作成している方には参考になると思われるため、ご紹介させていただきます。 → はてなブックマーク日記 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 [hatena.ne.jp] ご存知のない方のために軽く説明すると、9月下旬にid:guldeen氏のブックマークコメントが、何者かに改ざんされるという事件がありました。 当初、パスワードが盗まれたのでは?という話
キーボードショートカット一覧 j次のブックマーク k前のブックマーク lあとで読む eコメント一覧を開く oページを開く ✕
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。2024年2月のトップ50です*1。 順位 タイトル 1位 マンションリフォーム虎の巻 2位 死ぬほど嫌でした|佐藤秀峰 3位 「面倒なことはChatGPTにやらせよう」の全プロンプトを実行した配信のリンクを整理しました|カレーちゃん 4位 管理職必読 順番に読むと理解が深まる「マネジメントの名著」11冊 | 日経BOOKプラス 5位 メルカリで値段の「¥マーク」を小さくしたら購入率が伸びた理由、ペイディがサービス名を「カタカナ表記」にする理由など、プロダクトのマーケ施策まとめ30(2023)|アプリマーケティング研究所 6位 7年適当に自炊してきて調味料について思ったことを書く 7位 ウクライナ軍に入隊したアジャイルコーチが、さまざまなメソッドを駆使して中隊長としてのリーダーシップを実現した話(
ソフトバンクが行なっている「のりかえ顔メーカー」というサービス。 電話番号を入力すると、似顔絵を書いてくれて、それをブログ等に貼れる、というもの。 →のりかえ顔メーカー Google ブログ検索で「のりかえ顔メーカー」を検索すると、いろんな似顔絵が見れる。 →のりかえ顔メーカー - Google ブログ検索 が、ちょっと待った。 試しに、「0000-0000」「0000-0001」「0000-0002」…って感じで順番に番号を入れてみたわけだけど。 これ、どうやら、1桁目の数字が「髪型上部」、2桁目が「髪型下部」、3桁目が「目」、以降「あごの輪郭」「鼻」「口」「頭の付属品」「頬」に結びついてて、それぞれゼロから9までの10個のバリエーションが用意されてるみたい。 つまり、似顔絵を見れば、その人の番号が分かる。 …のかどうかは確かめてないです。 ごめんなさい。 そうだったら面白いことになるな
人気記事 1 FCNTの新スマホ「arrows We2/We2 Plus」--価格や販路の違い等を写真で確認 2024年08月16日 2 バルミューダ決算、新型「Mac mini」など--週間人気記事をナナメ読み(8月9日~8月15日) 2024年08月16日 3 携帯4社決算を読み解く--減益のドコモ、契約者急増の楽天モバイルが抱える課題 2024年08月15日 4 Instagramで「既読」を付けずにDMを閲覧する方法 2024年03月11日 5 KDDI、「povo2.0」のデータ使い放題期間満了時刻を変更へ--9月17日購入分から 2024年08月16日 6 Meta、「Meta Quest HDMI Link」を発表--VR上にスクリーンを表示 2024年08月16日 7 「かこって検索」、ミッドレンジの「Galaxy A55」「A54」などでも提供へ 2024年08月15日
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く