おさかなラボ - 携帯電話からセッションIDの漏洩を防ぐ
携帯電話向けWebアプリの脆弱性事情はどうなっているのか@高木浩光@自宅の日記 より リンク先のWebサイトには、Refererと共に端末IDもリクエストヘッダとして送信されているわけで、セッションID入りURLと端末IDがセットで流出するのだから、当然、同じHTTPリクエストを送るだけの方法でなりすましアクセスされてしまう。 URIにセッションIDを含める方法では、悪意のあるサイトにリンクを張るだけでRefererヘッダからセッションIDが取り放題となる。また、悪意のあるサイトにアクセスしたユーザーは端末IDもHTTPヘッダに含めそのサイトに送信してしまう。端末IDは簡単に詐称することが出来るので、端末IDをチェックしてもセッションハイジャックの防止線にはならない、というお話。 私は携帯端末は専門ではないので細かいことは良くわからないのだが、以下を前提にして、携帯電話からセッション
KDDI au: マルチメディア・コンテンツ > Flashコンテンツ
※お知らせ※ •2018年3月31日をもって、auの3Gケータイ向けの以下のサービスが終了となりました。 ・EZアプリ(B)の配信(ダウンロード・バージョンアップ) ・au世界サービス(旧:グローバルパスポート ※技術資料の中では「国際ローミング」と称しています) それに伴い、関連する技術情報を修正いたしました。 ・「公式コンテンツで提供するサービス」メニューおよびその配下の技術情報提供の終了 ・技術情報資料『【EZweb 全般】EZweb コンテンツ制作ガイド』の修正 •「WEBページ」メニュー配下にある「SHA-2対応ケータイアップデートについて」の項目を 「【EZweb全般】EZブラウザ搭載機のSHA-2対応について」に改称し、本文中の関連する記述も修正しました。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
