セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
ke-tai.org > Blog Archive > 本日提供が開始された「iモードID」機能を早速試してみました
本日提供が開始された「iモードID」機能を早速試してみました Tweet 2008/3/31 月曜日 matsui Posted in DoCoMo, ニュース | 5 Comments » 本日、2008年3月31日から、ドコモのiモードID通知機能がスタートとなりました。 iモードIDとは、契約ユーザ毎に一意となる番号で、個人の識別に使えるため、例えばログインなどの機能に利用できます。 従来までも端末IDの取得はできていたのですが、認証の度にダイアログが出るため、利用者にとっても開発者にとっても、やや不便な作りとなっていました。 ですので、今回のこの機能は待ちに待った機能となります。 そんなiモードIDを早速試してみました。 まず、公式サイトの情報はこちらになります。 → NTT DoCoMo 重要なお知らせ 『iモードID』の提供開始について [nttdocomo.co.jp] →
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
