KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された
au/KDDIの2011年秋冬モデル(現時点ではF001のみ)にてEZwebとPCサイトビューア(以下PCSV)のゲートウェイが統合されたことに伴い、かんたんログインを実装しているサイトに対して、F001のPCSVからJavaScriptを用いた「なりすまし」攻撃ができる状態でした。この問題をKDDIに通報したところ、直ちに対策が取られ、現在は安全な状態です。以下、詳しく報告します。 目次概要 経緯 何が問題か 経緯説明(1)基本的なチェックは対処済みだった 経緯説明(2)ハイフンをアンダースコアに変えるトリックは対策済み 経緯説明(3)海老原氏が発見したトリックとは 経緯説明(4)KDDIに連絡→翌日に対処 実証例 外部からJavaScriptを実行できる条件 影響を受けるサイトの条件 影響 対策 今回の問題は、端末あるいはau設備の脆弱性なのか まとめ 概要以前、「EZwebの2011
作ろうiモード:iモードブラウザ2.0新機能一覧 | サービス・機能 | NTTドコモ
ブラウザの表示領域としてQVGA描画モードとVGA描画モードに対応しています。 なお、QVGAモードは従来のiモードブラウザ1.0と同一の動作となっています。 液晶自体の解像度はVGAサイズ(横480dot×縦640dot以上)ですが、ブラウザ表示領域としてはQVGAサイズ(横240dot×縦320dot以上)に換算して描画を行います。そのため、HTML内のサイズ指定値や画像のサイズは縦横2倍の値として描画されます。 ブラウザ表示領域としてVGAサイズ(横480dot×縦640dot以上)として描画を行います。HTML内のサイズ指定値や画像のサイズは、そのままの値で描画されます。 なお、フォントに関してはdot指定する場合は上記の通りとなり、QVGA描画モードでは1行に表示できる文字数は半分になります。一方、大/中/小などで指定する場合は、モードに関わらず1行に表示できる文字数は同一とな
「PHP×携帯サイト デベロッパーズバイブル」@水無月ばけらのえび日記
うわさの「PHP×携帯サイト デベロッパーズバイブル (www.amazon.co.jp)」を軽く見ましたが……「ゆるいなぁ」、というのがひとまずの感想。 メモ的なコメントを順不同でだらだら列挙しておきます。 最初の1行掲示板のサンプルがいきなり脆弱。「完成版」になっても脆弱。「auではテキスト入力欄で改行が入力できる」という発想の仕方がどうも……。auに限らず、テキスト入力欄に限らず、改行が入力されることは常にあり得ると考えたほうが良いと思うわけで。Cache-ControlをHTTP応答ヘッダではなくmeta要素で指定。20世紀のフリーCGIみたい?Content-TypeをHTTP応答ヘッダとmeta要素の両方で指定する必要があるように読めますが、metaは不要なはず。しかも、何故かmetaにだけcharsetがついており、肝心な方についていないので、これをそのまま実装するとはせがわ
[Think IT] 第1回:携帯サイトとPCサイトはここまで違う! (1/3)
XHTML Mobile Profileに対応したHTML 本連載では、「PCサイトを制作してきたけど、携帯サイトは初めて」といった企業や個人クリエイター向けにPCとモバイルの違いなどをふまえ、携帯サイトを公開するまでの入門的なノウハウを紹介していきます。 まず、今回はHTMLの種類やタグ、CSSなど携帯ブラウザによる違いと、画面サイズやキャッシュ容量などの端末による違いについて紹介していきます。 では、早速携帯サイトを作る上でマークアップの基本となるHTMLについて説明します(図1-1)。携帯電話はPCと比べても非常に早い進化を遂げてきたため、どれも基本はHTMLを基準に作られていますが、携帯ブラウザ(iモード、EZweb、Yahoo!ケータイ)で表示可能なHTMLの仕様には実に多くの種類が存在します。 現在市場に出回っている機種ということに限定すれば、XHTML Mobile Prof
高木浩光@自宅の日記 - Yahoo!ケータイ初回利用時のユーザID通知に関する告知
■ Yahoo!ケータイ初回利用時のユーザID通知に関する告知 ソフトバンクモバイルのケータイWeb(「Yahoo!ケータイ」と呼ぶらしい)では、https:// ページへのリンクが妙な動作をするらしいというのが以前から気になっていたのだが、これは自分で調べるしかないと決意し、ソフトバンクモバイルの回線を契約し携帯電話を購入した。 早速「Y!」ボタンを押してみたところ。以下のページが現れた。最初に一回だけ表示される告知だと思われる。 SoftBankをご利用いただきありがとうございます。Yahoo!ケータイをご利用いただくにあたって必要な、お客様情報(ユーザID, ローミング情報)の通知設定を行います。 現在の情報: 未登録 ユーザIDの通知とは? (必ずお読みください) 通知する 通知しない ここで「ユーザID通知とは?(必ずお読みください)」のリンク先を見に行くと、図2の説明が現れた。
ke-tai.org > Blog Archive > ゆめみのmod_ktaiがとうとうリリース、しかも無償利用が可能
ゆめみのmod_ktaiがとうとうリリース、しかも無償利用が可能 Tweet 2008/7/18 金曜日 matsui Posted in ニュース, 記事紹介・リンク | 3 Comments » 昨年末にニュースリリースが発表されていた [yumemi.co.jp]、ゆめみのケータイ用Apacheモジュール「mod_ktai」ですが、7月15日付けでとうとう公開されたようです。 → ゆめみラボ mod_ktai [yumemi.co.jp] → ゆめみ ニュースリリース ゆめみ、Apacheモジュール『mod_ktai(モッド・ケータイ)』の第一弾を公開 [yumemi.co.jp] → CNET Japan ゆめみ、絵文字や画像をモバイル端末にあわせて自動変換できるApacheモジュール [cnet.com] mod_ktaiは、ケータイサイトでの絵文字変換や機種判別などの処理を行う
携帯ネット万能の世の中は、いつまでも続かない!んじゃないかな・・・ - michikaifu’s diary
トシをとってくると、世の中で熱狂していることに対して冷ややかになる、という悪い傾向が強くなる。私も年をとったな、と思いつつ、「ふん、そんなこと言ってるけど、いつまでも続くもんか」と思うことをひとつ。 相変わらず、日本では「パソコンから携帯へ」の流れが続く。Mixiもそうだし、この種のサービスは携帯サイトをやらないと儲からないらしい。「今の若い人は、パソコンなんて使わない、これからはますます携帯だ」という話がずいぶんある。 ホントかいな? 少し前に、「日本のパソコン・ネットのユーザーの中で、20代の比率が下がっている」という話が盛り上がった。それで、「今の若い人は・・」ということになるのだが、それよりさらに若い10代では少しずつ比率が上がっている。 ƒlƒbƒgƒŒƒCƒeƒBƒ“ƒOƒXŠ”Ž®‰ïŽÐ-ƒvƒŒƒXƒŠƒŠ�[ƒX これってつまり、20代だけがパソコン離れしている、という
高木浩光@自宅の日記 - EZwebサイトでSession Fixation被害発生か?, サブスクライバーIDをパスワード代わりに使うべきでない理由
■ EZwebサイトでSession Fixation被害発生か? au booksでの事故 意図的な攻撃でなく偶発的な事故なのかもしれないが、auの公式サービス「au books」のEZwebサイトで、Webアプリケーションの脆弱性が原因の情報漏洩事故が起きたようだ。 顧客情報漏えい:書籍販売サイト「au Books」で, 毎日新聞, 2007年6月26日 ゲーム攻略本(1冊1890円)の紹介サイトからアクセスし、その攻略本を買おうとすると、他の顧客の氏名、住所、電話番号、生年月日、会員パスワードが表示された。そのまま購入手続きをとると、他の顧客が購入したことになってしまうという。 au携帯電話におけるオンライン書籍販売サイト「au Books」におけるお客様情報の誤表示について, KDDI, 2007年6月26日 1. 発生事象 本年6月22日20時37分から23日18時45分までの間
高木浩光@自宅の日記 - ケータイWebはそろそろ危険
■ ケータイWebはそろそろ危険 これまでの背景と最近の状況変化 「安全なWebサイト利用の鉄則」にある通り、フィッシングに騙されずにWebを安全に使う基本手順は、(パスワードやカード番号などの)重要な情報を入力する直前に今見ているページのアドレスを確認することなのだが、しばしば、「そのページにアクセスする前にジャンプ先URLを確認する」という手順を掲げる人がいる。しかし、それは次の理由で失当である。 ジャンプ先URLを確認する手段がない。ステータスバーは古来よりJavaScriptで自由に書き換えられる表示欄とされてきたのであり、ジャンプ先の確認に使えない。 ジャンプ先URLを事前に確認したとしても、それが(任意サイトへの)リダイレクタになっている場合、最終的にどこへアクセスすることになるか不明。 そもそも、アクセスする前から、アドレス確認の必要性を予見できるとは限らない。普通は、アクセ
携帯電話向けサイトの検証に役立つツール - 携帯電話向けコンテンツの書き方
この記事は情報として旧くなり過ぎて価値を喪失したものと判断されるため、保存扱い(obsolete)となっております。理由:オープンウェーヴ社の事業撤退に依り、ダウンロードが不可能となった事、旧ソフトバンクのツールはもはや不要と判断される事に依り。 携帯電話向けサイトの検証に役立つツールをご案内します。 本来は実機で確認するのが一番良いのですが、なかなかあらゆるキャリアの端末を揃えるなんて事は出来ないでしょう。 ここで挙げているツールは、HTMLなどのマークアップの検証だけでなく、携帯電話対応CGIの動作確認にも最適なものです。 本来、記述の検証には表示確認ではなく検証サイトを利用するのが正しいのですが、非HTML言語の検証サイトは殆ど存在しません。また文法が正しくても、リンク先や画像が正しいかどうか、或いはカスケーディングスタイルシート(場合に依っては好ましくはありませんが物理マークアップ
2007-03-06
ケータイWebアプリの脆弱性問題は、私の専門分野であるので、もう少し突っ込んでみたいと思う。 高木浩光氏の高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか 携帯電話Webアプリのセキュリティが怪しいという話はいろいろな人から耳にするが、携帯の世界では秘密保持契約による縛りがあって、皆それらを話せない状態になっているようだ。その結果として、脆弱性の実態が明らかにならないばかりか、正しい実装方法の普及が進まない。 この問いかけに対して、技術論ではなく、脆弱性検査を実施した結果の統計情報で回答する。 というには、私の勤務先では、まさにケータイ向けWeb脆弱性診断をやっていて、昨年一年間の脆弱性傾向の統計を発表しているからだ。 https://www.kccs.co.jp/contact/paper_websecurity/index.html このホワイトペーパ
携帯電話向けWebアプリケーションのセッション管理手法 - ockeghem's blog
高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのかに、高木浩光氏が携帯電話向けWebアプリケーションの安全性についてコメントされておられる。 なぜ「URLにセッションIDが含まれる場合はセキュリティに注意する必要があり」なのかと言えば、Refererによってリンク先にセッションID入りのURLが流出し、流出先サイトの人にセッションハイジャックされてしまうからだ。 確かにそうなのだが、携帯電話向けWebアプリケーションでは、セッションIDをURLに埋め込むことが定石として用いられている。 その理由は、他に適当な方法がないからである。 携帯電話向けWebの代表例であるi-modeでは、Cookieをサポートしていない。そのため、セッションIDを埋められる場所というと、 URLに埋め込む Hiddenフィールドに埋め込んでPOSTで送出する くらいしか代替手段がな
ケータイ文化圏とネット文化圏の深い溝 [絵文録ことのは]2006/10/25
主にPCを使ってウェブサイトを閲覧している人と、主にケータイを使っていてPCは全く(またはほとんど)使わない人では、たとえ同じページを見ていても、まったく行動や思考形態が違う。「ケータイ族」という言葉もあるが、ネットでの常識はケータイの人たちに通じず、ケータイの常識をネットばかりの人は理解していない。 入院中、ケータイしか使えない状況で4か月を過ごし、強制的に「ケータイ族」にならざるを得なかったのだが、そこで「ケータイ文化圏」と「ネット文化圏」の違いがわかってきたように思う。 ■ネットユーザーは実は特殊な人種 このブログを見ているような人は、おそらく、PCからアクセスして、ブラウザでウェブサイトを閲覧し、Yahoo!やGoogleを使って検索して自分で調べ物をできる人たちだろうと思う。そして、それくらいのことは当たり前にできることだと思っているかもしれない。 しかし、そういった人たちは、実
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
