高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
【レポート】"かんたんログイン"のセキュリティ問題とは何なのか? - WASForum 2010 (1) 「かんたんログイン」で指摘される問題性 | ネット | マイコミジャーナル
Webアプリのセキュリティを検討する「Webアプリケーションセキュリティフォーラム(WASForum)」が5月22日、認証と認可に関するイベントを開催した。その中で携帯電話の「かんたんログイン」のセキュリティに関して講演が行われた。 WASFは、もともとPCの一般的なインターネットのセキュリティを対象にしていたが、昨今のスマートフォンの流行などで携帯電話からも通常のインターネットが頻繁に利用されるようになったことから、今回のような考察が行われたという。 かんたんログインに関して講演をしたのは、HASHコンサルティングの徳丸浩氏と、産業技術総合研究所(産総研)の高木浩光氏。 パンドラの箱を開いたキャリア 携帯電話のWebサイト(携帯Web)で一般的に利用される「かんたんログイン」は、iモード(NTTドコモ)やEZweb(au)、Yahoo!ケータイ(ソフトバンクモバイル)で利用されているログ
高木浩光@自宅の日記 - クッキー食えないのはドコモだけ
■ クッキー食えないのはドコモだけ ろくに安全な作り方も確立していないくせになぜかやたら蔓延ってしまった「簡単ログイン」。そもそもUI設計からしておかしい。ボタンを押せば入れるなら、ボタンがある意味がない*1。ログアウト不可能な常時ログインサイトだ。(それなのに「ログアウト」ボタンがあったりする。) 「そんなこと言ったって便利だから必要なんだ」とか、「ケータイでパスワードなんか入れてられない」だとか、「お客さんが付けてくれって言ったら俺たちIT土方には何も助言なんてできないんだ」とか言う人が出てくるわけだが、そんなのは、一般のインターネットのサイトだって、昔から「□ 次回から自動的にログイン 」とか「□ 次回から入力を省略」といったチェックボックスが普通に用意されている。amazon.comなんか大昔からログインしっぱなしだ。 そしてそれはcookieによって実現されてきた。個人識別番号な
しゃおの雑記帳 - 携帯サイト開発者のためのセキュリティ再入門
通勤電車で周囲を見渡せば大抵数台のスマートフォンを見つけられるようなご時世ですが、現実は日本の伝統的な携帯電話が多数派です。今もそんなガラケー向けWebサイトの開発案件は衰えることありません。 そんなガラケーサイトの開発者の間で話題になっている「セキュリティ対策」について、ガラケー界の現状をふまえた上でまとめてみます。 携帯電話のIPからのアクセスであることを前提としたセキュリティ対策はすでに無駄 ソフトバンク3Gのプロクシ情報は検索すればすぐに出てきます イー・モバイルのEMnetに至っては公開情報です サイトのソースもFlashのswfも画像もPCから丸見えだと思うべきです 危険な「かんたんログイン」 かんたんログインで使う契約者IDはあなたのサイトにも他のサイトにも同じものが送出されてます 悪意をもった人が他人の契約者IDをヘッダに乗せてかんたんログインのアクションを呼び出したらどう
モバイル用GWのIPアドレスを気にしてた時代もあったなぁ - とあるモバイル系エンジニアの日々
twitter始めたらすっかりブログ書かなくなってしまいましたがどうしても気になるエントリがあったので久しぶりに。 orangevtr いろいろ認識が甘すぎて唖然とする。IP制限してても今時はクローラーキャッシュからソース読めるし( http://d.hatena.ne.jp/komoriya/20090122/1232619395 )、HTTPヘッダは偽装できないとかいくらなんでも。PHP使いなのにcurl知らないの はてなブックマーク - ke-tai.org > Blog Archive > ソフトバンクの携帯用GatewayをPCで通る方法があるようです はてブでは制限文字超えちゃったのとちょっと言い回しが不遜な感じになってしまったので改めて。 ソフトバンクの携帯用ゲートウェイを、PC経由で通る方法があるとのことです。 扱う情報にもよりますが、ケータイサイトではIPアドレス帯域を制
高木浩光@自宅の日記 - まだまだ他でも破綻しているケータイID認証
■ まだまだ他でも破綻しているケータイID認証 前回の補足。以下は、私が気づいたことではなく、2009年夏に「かんたんログインが危うい」との話題で持ち切りだったときに、既に公に語られていたことである。 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 特にUserAgentからIMEI番号を正規表現などで抜き取ってそれだけを利用している場合は、この方法を使えば偽装可能。uidの方を使うようにした方がいいかも。 モバイル用GWのIPアドレスを気にしてた時代もあったなぁ, コメント欄#1, 匿名の臆病者, 2009年8月6日 透過プロクシという仕組みはご存じない? あ、ということは少なくともhttpsにx-jphone-uidが乗っていたら擬装の虞か。(端末はuidを吐かないので) しかし、携帯電話会社がこの
高木浩光@自宅の日記 - EMOBILEのX-EM-UID、はじめから破綻, 追記
■ EMOBILEのX-EM-UID、はじめから破綻 昨日の「SSL接続で得たX-JPhone-UIDを認証に使ってはいけない」から導かれる当然の帰結であるが、EMOBILEの X-EM-UID: についても同様に、SSL接続で得たものを認証に使ってはいけない。 「IDがSSLで使えない」ではなく「SSLで得たIDを使ってはならない」である点に注意。つまり、http:// のページしか提供していないつもりでも、実はWebサーバが https:// でもアクセスできるようになっていて、同じWebアプリケーションプログラムにリクエストが渡るようになっていたりすると、https:// 経由でなりすましログインされてしまうということ。 EMOBILEの「EMnet」はProxyサーバ wm.internal.emnet.ne.jp:8080 によって提供されており、これをProxyとしてSSL接続
高木浩光@自宅の日記 - ここまで破綻しているケータイID認証(簡単ログイン)
■ ここまで破綻しているケータイID認証(簡単ログイン) 2009年夏、はてなブックマーク界隈では「かんたんログイン」が危ういという話題で持ち切りだった。IPアドレス制限をしていても突破できてしまうのではないかという話だった。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフトバンクの携帯用GatewayをPCで通る方法があるようです, ke-tai.org, 2009年8月4日 これは要するに次のような話だった。 まず、SoftBankの携帯電話で特定のAPN mailwebservice.softbank.ne.jp でネット接続して、所定のProxyサーバ sbwap
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
携帯端末、全社対応型に…総務省が制限解除要請へ : 経済ニュース : マネー・経済 : YOMIURI ONLINE(読売新聞)
総務省は27日、携帯電話端末を、通信契約した携帯電話会社経由でしか使えないようにしている「SIMロック」について、解除するよう携帯電話会社に求める方針を固めた。 2010年末から発売される次世代携帯電話の端末を対象とし、法制化による義務付けも検討する。利用者が、端末と携帯電話会社を自由に組み合わせて選べるようになる見通しだ。 通常の携帯電話の端末には、電話番号や契約内容などが記録された「SIMカード」が差し込まれており、海外ではSIMカードを取り外して差し替えれば、どこの会社の端末でも使えるのが一般的だ。 日本では、端末は特定の携帯電話会社向けに作られており、別の会社向けの端末を使うには通信契約も切り替えなければならない。SIMカードを他社向けの端末では使えないようにするSIMロックがかけられているためだ。 総務省は、ロックが解除されれば利用者の選択の幅が広がり、企業間の競争が激しくなって
携帯端末、全社対応型に…総務省が制限解除要請へ(読売新聞) - Yahoo!ニュース
総務省は27日、携帯電話端末を、通信契約した携帯電話会社経由でしか使えないようにしている「SIMロック」について、解除するよう携帯電話会社に求める方針を固めた。 2010年末から発売される次世代携帯電話の端末を対象とし、法制化による義務付けも検討する。利用者が、端末と携帯電話会社を自由に組み合わせて選べるようになる見通しだ。 通常の携帯電話の端末には、電話番号や契約内容などが記録された「SIMカード」が差し込まれており、海外ではSIMカードを取り外して差し替えれば、どこの会社の端末でも使えるのが一般的だ。 日本では、端末は特定の携帯電話会社向けに作られており、別の会社向けの端末を使うには通信契約も切り替えなければならない。SIMカードを他社向けの端末では使えないようにするSIMロックがかけられているためだ。 総務省は、ロックが解除されれば利用者の選択の幅が広がり、企業間の競争が激し
携帯電話各社、ショートメッセージを相互乗り入れへ | スラド
ストーリー by makeplex 2009年07月20日 1時52分 電話番号は聞けてもメールアドレスは聞けないことが多いのでありがたい 部門より NHKニュースによると、携帯電話4社(NTT DoCoMo、KDDI(au)、ソフトバンクモバイル、EMobile)は、同じ会社の利用者なら電話番号をアドレス代わりにして送ることができる簡易メール「ショートメッセージ」を、来年度以降、他の会社の携帯電話ともやり取りできるようサービス拡充することにしたそうだ。他の会社の携帯電話ともやり取りができるよう設備を改良することにした。 携帯電話のメールには、インターネットに接続してやり取りする電子メールと、電話番号をアドレス代わりに短い文章をやり取りする簡易メール「ショートメッセージ」の2種類があるが、会社が異なる携帯電話とはやり取りができなかった。正直、使っている人はあまり多くないのではないだろうか。
ソフトバンク、周波数を切り替える屋外中継装置を開発
ソフトバンクモバイルは、山間部で展開する屋外中継装置として、基地局からは通常と異なる電波を受信し、通常周波数に変換するという「周波数変換型の屋外中継装置」を開発した。今後、導入に向けて検討する予定。 携帯電話は、基地局から発せられた電波が届く場所で利用できる。サービスエリアを作り上げる上で、基地局だけではなく、基地局の電波をより遠くへ飛ばす中継局も用いられる。従来は、基地局→中継局の電波周波数と、中継局→端末の周波数は同じものだったが、今回発表された新型中継局は、基地局→中継局の周波数は異なる帯域とし、中継局内で変換するというものになる。 同社では、基地局→中継局の電波と中継局→端末の電波が異なる周波数であれば、送信電力や増幅率を最大まで向上できるとしており、従来型中継局に比べて、約2倍~8倍のエリアをカバーできるという。一般的に山間部では都市部よりもユーザー数が少ないため、基地局を展開す
「800MHz・2GHzに差はない」、ドコモがエリアの作り方を説明
NTTドコモは4月16日、「接続ルールの見直し」に関する報道関係者向け説明会を開催した。同社では、同様の説明会を3月11日にも開催して自社の主張を説明したが、今回はソフトバンクモバイルの孫正義社長の主張を踏まえて、携帯電話で利用される電波の特性や、エリア拡充の手法などが紹介された。 ■ 周波数とエリアの作られ方 熱弁を振るう加藤氏 説明を行ったのは、ドコモ取締役常務執行役員で経営企画部長の加藤 薫氏。技術畑出身という同氏は、電波の周波数とエリアの作られ方の関係から説明をスタートした。 同氏は、まず「たまに『携帯電話は、北海道でも九州でもどこでも繋がりますね。電波が飛んでいくんですね』と言われることがあるが、手元の携帯電話から発信された電波がそこまで飛んでいくわけではない。近くにあるビルや鉄塔のアンテナに接続するだけ」と述べ、携帯電話が使えないケースとして圏外の場合や、高層ビルの上層階にいて
ドコモ、ぐるなびと「圏外撲滅キャンペーン」
NTTドコモとぐるなびは、東京都内の飲食店向けにエリア拡充を行う「ぐるなび×ドコモ圏外撲滅キャンペーン」を実施する。期間は6月30日まで。 今回実施される「ぐるなび×ドコモ圏外撲滅キャンペーン」は、「ぐるなび」掲載店舗を対象に、FOMAの電波が受信しづらい店舗を募集し、必要に応じて屋内中継装置を設置して電波状態を改善するというもの。電波状態が良好な店舗や改善された店舗は「ぐるなび」の特設ページで紹介されるほか、FOMA圏内であることを示すステッカーが提供される。 なお、屋内中継装置の設置にかかる料金については、無料の場合が多いものの、店舗の環境など条件によっては有料になる場合がある。 ■ URL ぐるなび FOMA特設ページ http://pp.gnavi.co.jp/docomo/ ■ 関連記事 ・ au、ぐるなび掲載店舗を対象に“つながる”対策 (太田 亮三) 2009/02/17 1
ここギコ!: 携帯サイトで位置情報の詐称を許さない方法
Web2.0ワークショップで紹介したように、様々なケータイやPHSでユーザの現在位置が取れるようになってきていて、それを使っていろいろアプリケーションが作れるようになってきている。 その中には、実用アプリだけでなく、私も前管理人をしていたアンテナ奪取や、ケータイ国盗り合戦、Ittemiaのようなエンタメアプリも考えられるわけですが、その際に問題になってくるのが「現在位置の詐称」問題です。 ケータイ、PHSでの位置取得は、SoftBank簡易位置情報のようにHTTPヘッダ、DoCoMoのiエリアのようにPOST等で返ってくる場合もありますが、多くの場合、GETのクエリストリングとして返ってきます。 なので、一旦URLを得てしまえば、クエリストリング中の経緯度を書き換えさえすれば、簡単に詐称できてしまうのです。 実用アプリならば、飽くまで位置情報はユーザの調べる位置を現在位置とするため
au、来春にJavaアプリが楽しめる「オープンアプリ」導入へ
KDDIと沖縄セルラーは、BREW対応の携帯電話でもJavaアプリが楽しめる「オープンアプリ」機能を来春に導入する。対応機種は、来春以降に登場するもののみで、既存端末では利用できない。 今回導入されるオープンアプリは、BREW上でJavaアプリを楽しめるというもの。仕様としてはMIDP2.0準拠となっており、au独自の仕様は採用されない。その名が示す通り、オープンアプリは勝手アプリ(一般アプリ)として提供されることになり、EZwebの公式メニュー上で配信されることはなく、オープンアプリ配信にあたって両社の審査は行なわれない。 対応機種は、Javaアプリケーション再生機能を備えた「オープンアプリプレイヤー」に対応するもの、と案内されているが、KDDIでは「対応機種は来春以降に登場する」としている。なお、アプリ開発者に向けて同社Webサイト内で作成ガイドが公開されており、それによればJarファ
BREW版「Windows Live メッセンジャー」を使ってみる
「Windows Live メッセンジャー」が、auの携帯から使えるようになった。アプリを終了しても“オンラインのまま”でいられ、メッセージをメールで受け取れる。 マイクロソフトは、「Windows Live メッセンジャー」および「Windows Liveメール」を携帯電話で利用できる「Windows Live for Mobile」を9月28日から開始した。 同社はこれまで、Windows Live for MobileをNTTドコモのiアプリでベータ版を提供してきたが、9月28日からは正式版となる。auの公式サイトにもBREW版を公開した。アプリは無料だが、別途パケット通信料がかかる(パケット定額制の対象)。 ドコモの902iおよび901iS、auのWIN端末に対応し、Windows LiveメッセンジャーのWebサイトで対応する端末を確認できる。今回は、auのneon(W42T)を
マイクロソフト、「Windows Live メッセンジャー」のBREW版
Windows Live for Mobile リアルタイムチャットの画面 マイクロソフトは、メッセージングサービス「Windows Live メッセンジャー」および「Windows Liveメール」のEZアプリ(BREW)版となる「Windows Live for Mobile」の提供を開始した。利用料は無料。 「Windows Live」はマイクロソフトが提供する個人向けインターネットサービスを統合したWebプラットフォーム。「Windows Live メッセンジャー」は、マイクロソフトの提供するパソコン向けのインスタントメッセージングサービスで、ユーザー間でのリアルタイムチャットや、多人数で同時にメッセージのやりとりなどが行なえる。また、「Windows Liveメール」はWebメールサービスとなる。 「Windows Live for Mobile」では、携帯電話同士だけでなく、パ
Google FeedBurner
Not your computer? Use a private browsing window to sign in. Learn more
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
