無利息期間とは
キャッシングを利用する場合、無利息期間が在る金融会社を選ぶ事で一定期間利息が掛からずキャッシングが利用できるのでお得です。この無利息期間と言うのは、一定期間にかかる利息がゼロになると言うもので、一定期間が過ぎてしまうと、通常の利息を支払う事になります。因みに、利息というのは借入残高×年利÷365日(うるう年の場合は366日)×借入期間で計算が出来ます。尚、金融会社によりルールは様々ではありますが、大手の消費者金融などの場合は、初めてキャッシングを利用する人の場合、借入を始めてから30日間は利息が適用されず、31日目から次回の返済期日までの間は通常の利息が掛かると言う仕組みになっています。例えば、10万円のキャッシングを利用した場合、年利が18%の場合であれば、10万円×0.18÷365日となり、1日あたり49円の利息がかかります。30日間の無利息の場合は、これの30日分となる1470円がゼ
ke-tai.org > Blog Archive > ドコモのクッキー対応端末(iモードブラウザ2.0)のシェアは現状どれくらいなのかを調べてみました
ドコモのクッキー対応端末(iモードブラウザ2.0)のシェアは現状どれくらいなのかを調べてみました Tweet 2010/10/28 木曜日 matsui Posted in DoCoMo | 1 Comment » 先日からモバイル界隈をざわつかせていた、ヤマト運輸のかんたんログイン脆弱性問題で気になったので、ドコモのクッキー対応端末(iモードブラウザ2.0)のシェアを調べてみました。 まずヤマト運輸の問題について知らないという方はこちら。 → ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです [ke-tai.org] → ヤマト運輸ケータイサイトに脆弱性があった問題の続報 [ke-tai.org] 今回の問題に対する一番の対策は、端末IDを使った認証(いわゆる「かんたんログイン」)を使わずに、通常のPC向けサイトと同じようにクッキーでログイン情報を管理するこ
携帯電話事業者に学ぶ「XSS対策」 - ockeghem's blog
NTTドコモとソフトバンクモバイルは、フィーチャーフォン(いわゆるガラケー)にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている(しようとしている)挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。 NTTドコモに学ぶ「XSS対策」まず、サンプルとして以下のようなXSS脆弱なスクリプトを用意します。 <?php session_start(); ?> <body> こんにちは<?php echo $_GET['p']; ?>さん </body>これを以下のURLで起動すると、IE7では下図のような表示になります。 []http://example.com/xss01.php?p=山田<scrip
WASForum Conference 2010: どうするケータイ認証 | 水無月ばけらのえび日記
公開: 2010年5月31日0時45分頃 WASForum Conference 2010、ソフトバンクの脆弱性の話に続き、産総研の高木浩光さんによる「どうするケータイ認証」。 ケータイWebの世界従来、WASForumではあまり扱ってこなかった分野。その理由は…… 独自方式、仕様が明確でないNDAの壁 (特に公式サイト)契約で縛った独自世界なら、キャリアが責任を持つべき。部外者は何かを言うべき立場にないしかし、昨今では…… ケータイ独自方式が一般サイトにまで侵出2008.3 iモードIDがスタートスマートフォン対応の活発化 ログイン認証の欠陥ID (契約者固有ID) による認証を JavaScript + DNS Rebinding で突破される問題海外ではあまり問題にならないDNS Rebindingという手法は古くから知られていたのだが、そんな認証は日本でしか使われていないため、海外
個体識別番号は個人情報と容易に結びつく | 水無月ばけらのえび日記
更新: 2010年6月1日11時35分頃 「KDDIの固体バカが言う「EZ番号はプライバシーに関する情報ではない」 (takagi-hiromitsu.jp)」。 「固体」ではなく「個体」が正解なのですが、KDDIのドキュメントには「固体」と記述してあるという。まあ、それは単なる変換ミスの類でしょうが、問題なのはその記述の内容の方ですね。 ■EZ番号はお客さまがURLにアクセスした際にサイト提供元のサーバに通知され、会員のアクセス管理などに利用されますが携帯電話番号やメールアドレス、氏名などのプライバシーに関する情報は含まれておりませんのでご安心ください。 以上、[000021]EZ番号(固体識別番号)を変更したい。 より ※2010-06-01追記: 上記の記述は削除されたようで、現在は確認できません。 確かに、EZ番号それ自体には個人情報は含まれていないでしょう。しかし問題は、個人情報
高木浩光@自宅の日記 - クッキー食えないのはドコモだけ
■ クッキー食えないのはドコモだけ ろくに安全な作り方も確立していないくせになぜかやたら蔓延ってしまった「簡単ログイン」。そもそもUI設計からしておかしい。ボタンを押せば入れるなら、ボタンがある意味がない*1。ログアウト不可能な常時ログインサイトだ。(それなのに「ログアウト」ボタンがあったりする。) 「そんなこと言ったって便利だから必要なんだ」とか、「ケータイでパスワードなんか入れてられない」だとか、「お客さんが付けてくれって言ったら俺たちIT土方には何も助言なんてできないんだ」とか言う人が出てくるわけだが、そんなのは、一般のインターネットのサイトだって、昔から「□ 次回から自動的にログイン 」とか「□ 次回から入力を省略」といったチェックボックスが普通に用意されている。amazon.comなんか大昔からログインしっぱなしだ。 そしてそれはcookieによって実現されてきた。個人識別番号な
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
ドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 | スラド セキュリティ
やや古い話になるが、ドコモ携帯の携帯固有IDのみを用いたWebサイト認証の脆弱性がHASHコンサルティングより報告されている(情報公開日は昨年11月24日)。この問題は、数年前からセキュリティ研究家の高木浩光氏が指摘していたものだ(「無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者」、「ケータイWebはどうなるべきか」)。 この問題は読売新聞でも取り上げられている(「最新29機種ドコモ携帯、個人情報流出の恐れ」) 専門家では無いのでややセンセーショナルな読売の記事見出しが適切かどうかは判断が付きかねる。技術的な詳細に関しては専門の方々の解説を求む。 (追記@16:08)今回発覚した問題と、高木氏が指摘していた問題はどちらも固有IDを悪用するという点は共通しているものの、異なるものだという指摘をいただきました(#1702037)。高木氏が指摘していたのは、携帯
iモード専用サイトのhtmlソースの閲覧方法 « mpw.jp管理人のBlog
iモードブラウザ2.0のJavaScriptを調査・研究する過程で、iモード専用サイトのhtmlソースを閲覧する方法を発見しました。 今回発見した方法を用いれば、「ドコモ・ゲートウェイ以外からのアクセスを禁止している」、「サーチエンジンのクロールを禁止している」、「XSS脆弱性が存在しない」の三つの条件を満たしているiモード専用サイトでも、htmlソースを閲覧することができます。 しかし、htmlソースを閲覧するためには、そのiモード専用サイトが別の二つの条件を満たしている必要があります。 htmlソースが閲覧可能なiモード専用サイトの条件 デフォルトホストで運用されている。(ヴァーチャルホストではない) iモードブラウザ2.0のJavaScriptからのアクセスを禁止していない。 iモード専用サイトのhtmlソースの閲覧方法 iモードブラウザ2.0のJavaScriptで、htmlソース
セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
ここギコ!: iモードIDの導入はiモード2.0の布石だったのかなあと今さらながら思う
Posted by nene2001 at 22:21 / Tag(Edit): モバイル iモード Cookie / 0 Comments: Post / View / 0 TrackBack / Google Maps いろいろとモバイル関連のオモイデ等振り返っていてふと思ったんだけど、もしかするとiモードIDの導入って、iモード2.0の布石だったのかもしれない。 2008年2月末に発表され、2008年3/31から提供されたiモードID。 それまで一般サイトには常時取得できるユーザ判定情報がなく、特定の記述のついたリンクを踏んだときだけ、ワンタイムで通知されるFOMAカードのIDをセッションで引き回したりしてユーザ判定していた。 そのDoCoMoが方針転換して、https時以外は一般サイトでも常時取得できるユーザIDができるということで、高木浩光先生あたりには「日本の
高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
IP制限のかけられたモバイルサイトのソースを見る方法 - komoriyaのはてなダイアリー
モバイルサイトのコーディングをする際、他サイトのコードを参考にしたいけど携帯端末以外のIP制限がかけられておりソースが参照できない場合があります。 そういったときはGoogleを使ってPCのブラウザなどから見る事ができます。 まずGoogleサイト検索を使って見たいモバイルサイトのURLで検索します。 例えば、はてなダイアリーモバイル場合 site:d.hatena.ne.jp/mobile ※はてなモバイルはIP制限をかけておりませんが例として。 普通に検索結果をクリックしますとPCページへリダイレクトされてしまいますので、「キャッシュ」の方をクリックします。 そうするとGoogleにキャッシュされているモバイルページが閲覧することができます。 あとはブラウザからソースを表示すればGoogleの注意書き以降は対象ページのソースとなります。 その他 ・Googleのキャッシュを見る事になる
ke-tai.org > Blog Archive > JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」
JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 Tweet 2009/8/5 水曜日 matsui Posted in 記事紹介・リンク | 4 Comments » 昨日に続きセキュリティ関連の話題です。 下記のブログ記事が大変面白く、参考になる良エントリーでしたのでご紹介させていただきます。 → 徳丸浩の日記 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 [www.tokumaru.org] 今年の5月にドコモから発売されたJavaScript対応端末ですが、販売開始後すぐにソフトウェアアップデートによりJavaScript機能が停止されてしまいました。 上記エントリーでは、この停止の原因となった脆弱性について仮説を立てて検証し
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
