ROCA @rocaz セキュリティクラスタな皆さんに質問。ログイン時のユーザーIDの入力省略のためユーザーIDだけをCookieやランダム生成文字列などではなくて携帯端末の固定的なUDIDなどに紐付けてサーバーサイドで保持することは妥当?僕はよりよい方法があるのに採用しないなら脆弱という立場なんですが
今回はissyさんのブログ『Linux/CGP作業メモ』からご寄稿いただきました。 Viberが送信する情報のメモ Viberが利用者のアドレス帳情報をサーバに送信して保管するということなので、具体的にどんな内容が送信されているのか、登録から全てパケットキャプチャして確認してみた。暗号化されていたらわからないなと思っていたが、昨日の記事で電話番号が平文で送信されていたのでひょっとしたらと予想した通り、Viberは登録時にほぼ全ての情報をhttpで平文のまま流通させていた。せっかく素晴らしいソフトなのに残念なことだと思う。 【12/23追記】Viber社のCEO Talmon Marco氏があるブログの懸念に回答をしていたので最後部に追記。 キャプチャで判明したこと ・登録で通信するサーバはwa.viber.com ・NYのミッドタウンセンターにあるNetVision社のIP ・Webサーバ
SANS Institute Security Blogs UI Spoofing Safari on the iPhoneにおいてセキュリティ研究者Nitesh Dhanjani氏がiPhoneのブラウザの動作が詐欺サイトの構築に悪用される可能性があることを指摘している。いつどのようにこの問題に対処するかはわからないということだが、Appleもこの問題については認識しており改善を検討しているようだ。 iPhoneのブラウザでWebページを表示させた場合、最初はアドレスバーが表示されているがスクロールすると消える仕組みになっている。これはモバイルデバイスという限られたサイズのスクリーンを最大限に活用するための機能。この機能はJavaScriptから制御することもでき、自動的にアドレスバーを隠すようにすることもできる。 デスクトップのブラウザはこうした動きをしないようになっている。通常、アド
■ かんたんログイン方式で漏洩事故が発生 ガラケーからiPhoneに乗り換えた人々が「ガラケーサイトが見れない!!」とご不満らしいという話は、聞いたことがあったし、そういう方々向けに「ガラケーサイトを閲覧できる」と謳うスマホ用の専用ソフトが提供されたというのも、どこかで見た記憶があった。 そんな10月9日の夜遅く、ある方から、「iPhone用のSBrowserというアプリで、クロネコヤマトのサイトを使ったら、知らない人の個人情報が出てきてびっくりした。どうしたらいいか」という相談が舞い込んできた。 早速、iTunes Appストアで「SBrowser」の商品説明ページを見に行ったところ、数々の雑言レビューが付いており(図1)、この種のアプリの需要とユーザ層が見えた。
先日、Androidアプリの多くが個人情報を無断送信しているという、セキュリティリスクを内在していることを紹介したが、こんどはiPhoneを含むiOSプラットフォーム上で同様の問題を含む可能性が存在することが、あるセキュリティ専門家の指摘によって指摘されている。 米ペンシルバニア州ルイスバーグにあるバックネル大学(Bucknell University)でネットワーク管理者を担当しているEric Smith氏が10月1日(現地時間)に発表した論文 (PDFファイル)によれば、iOSデバイスには個々を識別するための端末番号と呼べるUDID (Unique Device Identifier)が付与されており、iOSアプリがこれを自由に読み取り、バックエンドのサーバへ送受信可能な状態になっているという。もともとiOSではGPSデータやUDIDの利用が可能になっており、iOS SDKの規約が許す
iPhoneアプリ用のログイン情報設定画面の作り方という記事を先日書いたのだが、パスワードをNSUserDefaultsを使用して平文で保存する事はセキュリティの面から好ましくないとの事(Storing passwords in iPhone applications - Stack Overflow)。 上記の記事によると、セキュリティ対策としてKeychainを使う事を薦めているのだが、Appleのドキュメント(Keychain Services | Apple Developer Documentation)にもiPhoneにパスワードを保存する場合にはKeychainを使う事が重要であると書かれていた。 ちなみに上記のAppleのドキュメントによると、個々のiPhoneアプリはKeychainにアクセス可能であるが、他のiPhoneアプリのKeychainアイテムにはアクセス出来な
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く