高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのかに、高木浩光氏が携帯電話向けWebアプリケーションの安全性についてコメントされておられる。 なぜ「URLにセッションIDが含まれる場合はセキュリティに注意する必要があり」なのかと言えば、Refererによってリンク先にセッションID入りのURLが流出し、流出先サイトの人にセッションハイジャックされてしまうからだ。 確かにそうなのだが、携帯電話向けWebアプリケーションでは、セッションIDをURLに埋め込むことが定石として用いられている。 その理由は、他に適当な方法がないからである。 携帯電話向けWebの代表例であるi-modeでは、Cookieをサポートしていない。そのため、セッションIDを埋められる場所というと、 URLに埋め込む Hiddenフィールドに埋め込んでPOSTで送出する くらいしか代替手段がな
HASHコンサルティングは11月24日、NTTドコモのiモードIDを利用した認証機能(かんたんログイン)について、不正アクセスが可能となる場合があると発表した。iモードブラウザ2.0のJavaScriptとDNSリバインディング問題の組み合わせにより実現する。同社ではモバイルサイト運営者に対して至急対策を取るよう呼びかけている。 かんたんログインとは、契約者の固有IDを利用した簡易認証機能。ユーザーがIDやパスワードを入力しなくても認証ができることから、モバイルサイトでは広く採用されている。NTTドコモの場合はiモードIDと呼ばれる端末固有の7ケタの番号を使っている。 NTTドコモでは2009年5月以降に発売した端末において、JavaScriptなどに対応した「iモードブラウザ2.0」と呼ばれる新ブラウザを採用。10月末からJavaScriptが利用可能となっている。また、DNSリバインデ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く