タグ

securityとgmailに関するamayanのブックマーク (1)

  • 未検証なので信憑性はないが、iモードにおけるgmailのセッション管理を解析してみた - masutaroの日記

    1. iモードにおけるSSL事情 iモードはSSL通信中、下記のどの方法でもユーザーを一意に識別する情報を取得する事ができません。 ・utn ・NULLGWDOCOMO ・guid=ON ・cookie(iモードは未対応) そのため、iモードでSSL通信中にユーザーを一意に識別したい場合(*1)はURLにsession_id=*****というようなセッション情報を付加して引き回さないといけません。しかし、そうするとセッション情報が付加された状態のURLが何らかの理由で他人の手に渡った場合(*2)、セッションハイジャックの恐れが出てきます。 *1 ECサイトの決済画面など *2 ユーザーがメールで他人に送ってしまったり、通信が盗聴されたり... 2. gmailの不思議 まず先に結論を述べておくと、iモードでgmailを閲覧した時のSSL通信中のURLを、他の端末に転送してもセッションハイジ

    未検証なので信憑性はないが、iモードにおけるgmailのセッション管理を解析してみた - masutaroの日記
    amayan
    amayan 2009/01/26
    GMailはSSL_SESSION_IDによって一意なユーザを識別しているのではないか、という考察。
  • 1