ガラパゴスに支えられる携帯サイトのセキュリティ | 水無月ばけらのえび日記

公開: 2010年3月6日14時20分頃 モバツイ (www.movatwi.jp)作者のえふしんさんが、こんなつぶやきを。 携帯サイトは、閉じられた環境であることを前提として作られている場合があります。すなわち、以下のような前提です。 利用者が自由にHTTPリクエストをしたり、リクエストパラメータを改変することはできないこれはPCサイトでは全く通用しない話です。通常のインターネットからの接続では、telnetなどで好きなデータを送信できますので、通信内容はいくらでも改変できてしまいます。 PCサイトの場合は、それでも問題ありません。攻撃者はリクエストを改竄できますが、ターゲットになりすますためには、ターゲットの識別情報を入手する必要があります。PCサイトで標準的に使われる識別方法は、Cookieを発行することで端末(ブラウザ)を識別するという方法です。Cookieは発行したサイトにしか送

[janus_wel]

ケータイと PC での環境の違い

[kenichiice]

「つまり携帯サイトは、「識別情報は漏れるが、リクエストは改竄されない」ということを前提とした設計になっているのです」

[ghostbass]

cookieの実装が難しいのかやりたくないのか。/id:ockeghem あ、そうなの

[TakamoriTarou]

どうせ鎖国は続かないだろうし、その時技術者は現状のモデルになれきっていると食いっぱぐれる可能性があるって事だろか。パスワードはKeepassみたいなパスワード管理機能をつければある程度解決すると思う。

[ockeghem]

『将来的には、ガラパゴスでなくても生き残れるような方向に転換して行かざるを得ないのかもしれません』<御意/id:ghostbass 最新の端末だと3キャリアともCookie対応していますよ

[tsupo]

JavaScript対応の端末は、XmlHttpRequestで任意のリクエストを送出したり、iframeを使って別サイトのコンテンツを読み取ったりする機能を持ちます。これが、docomo端末のDNS Rebindingなどの新たな問題につながっています