高木浩光＠自宅の日記 - まだまだ他でも破綻しているケータイID認証

■ まだまだ他でも破綻しているケータイID認証 前回の補足。以下は、私が気づいたことではなく、2009年夏に「かんたんログインが危うい」との話題で持ち切りだったときに、既に公に語られていたことである。 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 特にUserAgentからIMEI番号を正規表現などで抜き取ってそれだけを利用している場合は、この方法を使えば偽装可能。uidの方を使うようにした方がいいかも。 モバイル用GWのIPアドレスを気にしてた時代もあったなぁ, コメント欄#1, 匿名の臆病者, 2009年8月6日 透過プロクシという仕組みはご存じない? あ、ということは少なくともhttpsにx-jphone-uidが乗っていたら擬装の虞か。(端末はuidを吐かないので) しかし、携帯電話会社がこの

[ShoCoh]

とりあえず、今回のモバマスの複垢の件は高木先生のこのへんの記事を見とけばいいですかね

[miyatakesan]

かんたんログインについて高木氏のまとめ

[willnet]

SSL接続で受信した X-JPhone-UID: の値はゲートウェイ側で修正できないので改ざん可能

[elecsta]

https x-jphone-uid softbank baka mobile

[fukumura]

あとで読む

[hiro_y]

「SSL接続で得たX-JPhone-UIDを認証に使ってはいけない」

[MinazukiBakera]

「SSL接続で得たX-JPhone-UIDを認証に使ってはいけない」。

[riki3bow]

やっぱりクッキー対応していない機種を見捨てて… RT: 高木浩光＠自宅の日記 - まだまだ他でも破綻しているケータイID認証 –

[rivfi]

たぶん高木先生がはてなココの携帯からのログイン仕様を知ったら腰を抜かすと思う。

[isrc]

事実を検証の上、少なくとも避けなければならないこと／端末シリアル番号を認証に使ってはいけない／SSL接続で得たX-JPhone-UIDを認証に使ってはいけない／そして他にも……

[itochan]

オレオレ証明書関連の取り扱いをおもいだした　＞そのため「かんたんログイン」が動かないということで、この設定をONに変更するように促しているサイトがあるが、危険

[perezvon]

「SSL接続で受信した X-JPhone-UID: の値を認証に使ってはいけない。」

[yocchi24]

かんたんログインの危険性について「SSL接続で受信した X-JPhone-UID: の値を認証に使ってはいけない」…もうどうしたらいいのか。クライアントは使いたいって言うし…。 #web

[setamise]

携帯固有番号関連

[uunfo]

「SSL接続でWebサーバにHTTPリクエストを送信した場合、end-to-endのSSL接続なのだから、そのリクエストの内容がいかなる内容であれ、それがゲートウェイ（Proxyサーバ）で書き換えられることはない」

[mumincacao]

SSL 接続時に X-JPhone-UID を使うのはきけんがあぶない・・・そう言われてみると GW で描きかえは無理なのですΣ（´ロ｀；【みかん

[masa_w]

なんという罠・・・→「SSL接続で得たX-JPhone-UIDを認証に使ってはいけない」

[tsupo]

端末シリアル番号を認証に使ってはいけない / SSL接続で得たX-JPhone-UIDを認証に使ってはいけない / なぜ携帯電話会社はこの事実を周知しないのか。無責任極まりない

[mohno]

「つづく。」

[IGA-OS]

そろそろかんたんログインが危険ということで廃れていき・・・本気でスマートフォンが大手を振って歩ける環境が日本にもできそう。

[tanigon]

SSL接続の場合はx-jphone-uidが・・・か。ふーむ

[mitsuki_engawa]

end-to-endなSSLを通すことでproxyのオーバーライドがなくなって、逆に(?)信用性を失う例など。根本的にクライアントを信用するのは筋悪だしなあ。

[dragon3]

end-to-end じゃない場合（secure.softbank.ne.jp）を経由する場合はどうなんだろ？

[py0n]

携帯に限らず「便利さの為に失ったもの」を集めたら、それだけで一冊の本が書けそうだ。

[honeybe]

検証記事。端末シリアル番号は物理的な端末に紐付く番号だからSBのネットワーク側での書き換えは難しいと思う。

[htz]

なるほど。。

[TakamoriTarou]

そもそも端末のシリアル番号がUAに乗ってるというのを始めて知った。その情報元々何に使われることを想定してUAに乗ってるんだろうか。お手軽にアクセス解析の名寄せができます！とかつまらん事のような気もするが…

[tyamamoto]

簡単ログインは早く捨てるべき。そう思った。

[ockeghem]

かんたんログインはSSL対応できないということ。私も未発表の情報がある。その手法に対する回避策はあるが、他の手法に対しても安全になるかどうかは分からない。かんたんログインを捨てる準備を今すぐ始めよう

[rna]

Softbankの場合はtwitterで孫氏に直訴してひろみちゅをセキュリティ関係のトップに据えてもらってトップダウンで改革したらなんとかならないかなー