タイトルなど単なる識別子・・・ - NTTドコモのセキュリティ意識って(ry
ちょっと時間が出来てWeb閲覧していたら気になったので,PCの前に戻って書くなのだ。 長文なので結論を先に書くのだ。 iモード(2.0端末)利用者は,かんたんログインに関する脆弱性の責任の所在をNTTドコモが明言するまで,(そして対策がなされるまで)JavaScriptの無効化をして利用するのを勧めるのだ。 ドコモ携帯、情報流出の恐れ…最新29機種 YOMIURI ONLINE “NTTドコモでは、公式サイトを運営する約3000社には注意喚起したが、それ以外の無数にある「勝手サイト」には「ジャバスクリプトの安全な利用はサイトを作る側にとって基本的知識であり、具体的に説明はしていない」という。” “高木浩光主任研究員は、「利用者IDがあらゆる携帯サイトに自動で送られ、認証に使われる仕組みは問題だ」と指摘している。” そして,そのiモードIDを用いた「かんたんログイン」の脆弱性に対する責任の所
間違いだらけの「かんたんログイン」実装法
今回は、そのかんたんログインの問題点について説明します。 「契約者固有ID」を用いるかんたんログイン かんたんログインとは、携帯電話の「契約者固有ID」を用いたログイン手法です。 第1回で説明したように、携帯電話のブラウザのリクエストヘッダには契約者固有IDと呼ばれるIDを付けることができます。契約者固有IDは、携帯電話事業者によって詳細は異なりますが、すべての携帯電話事業者が対応しています。 図1は、NTTドコモの携帯電話がサポートしている契約者固有IDである「iモードID」がサーバに送信される様子です。この情報は、ユーザーがそれと意識することなく送信されます。携帯電話のかんたんログインとは、契約者固有IDのみを用いて認証を行い、ログイン機能を実現することです。 かんたんログインは、ベーシック認証のようにIDとパスワードを管理する必要もなく、Cookieのように対応する端末を考慮する手間
楽天銀行アプリのセキュリティについて | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 まだ曖昧な部分もあるので書くかどうか迷いはしたのだが、一定の結果には至ったので僕自身が持っている疑問の提示と皆さんへの問いかけという意味を込めて書き連ねてみる。 iPhoneアプリに「楽天銀行アプリ」というものがある。名前通り楽天銀行へログインし自身の取引結果や振り込みなどを行えるアプリだ。 僕自身も楽天銀行には口座を持っているので試してみたのだけど、「あれ?」と思わざるを得ない仕様があった。 簡単に説明すると次のような手順でこのアプリは使用する。 クイックログインの仕様 起動するとまずログイ
![楽天銀行アプリのセキュリティについて | [ bROOM.LOG ! ]](https://cdn-ak-scissors.b.st-hatena.com/image/square/8d71ff5111e05619a10d29bb40d7aebaa75c8fbc/height=288;version=1;width=512/https%3A%2F%2Fs0.wp.com%2Fi%2Fblank.jpg)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
