高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 20091124.html
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 追記日:2010年1月21日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固
Ring
Ringとは、リクルートグループ会社従業員を対象にした新規事業提案制度です。 『ゼクシィ』『R25』『スタディサプリ』など数多くの事業を生み出してきた新規事業制度は、 1982年に「RING」としてスタートし、1990年「New RING」と改定、そして2018年「Ring」にリニューアルしました。 リクルートグループの従業員は誰でも自由に参加することができ、 テーマはリクルートの既存領域に限らず、ありとあらゆる領域が対象です。 リクルートにとって、Ringとは「新しい価値の創造」というグループ経営理念を体現する場であり、 従業員が自分の意思で新規事業を提案・実現できる機会です。 Ringフロー その後の事業開発手法 Ringを通過した案件は、事業化を検討する権利を得て、事業開発を行います。 さまざまな事業開発の手法がありますが、例えば既存領域での事業開発の場合は、 担当事業会社内で予算や
絵文字が開いてしまった「パンドラの箱」第3回--Unicode提案の限界とメリット
前回までを振り返る--Unicodeコンソーシアムの影響力 前回はどこまでお話ししましたっけ。世界中の文字の収録を目的とした文字コード規格、Unicodeは、米国のIT企業を中心に結成されたUnicodeコンソーシアムが制定するデファクト規格に過ぎないこと。しかし公的な国際機関が定めるデジュール規格ISO/IEC 10646と同期することで、WTO/TBT協定にもとづき世界中の国々に普及させられるメリットを得たこと。 また、Unicodeコンソーシアム自体はオープンな組織だけれど、意志決定を行うUTC(Unicode Technical Committee/Unicode技術委員会)で一票を投じる権利を持つのは一握りの団体に限られること。そしてUTCはISO/IEC 10646のアメリカ・ナショナルボディであるL2委員会と合同でしか開催されておらず、同時にL2委員会とUnicodeコンソー
ke-tai.org > Blog Archive > ケータイ大規模サービスの開発・運用に関する資料のまとめ
ケータイ大規模サービスの開発・運用に関する資料のまとめ Tweet 2009/2/18 水曜日 matsui Posted in 記事紹介・リンク | 5 Comments » 先月末に「満足せる豚。眠たげなポチ。大規模サービスの運用事例まとめ」という大変素晴らしいブログエントリーがあり、ブックマークしていたのですが、なかなか時間を作れずに目を通せずにいました。 本日読んでみると、とてもためになる情報が多かったため、まとめのまとめという形ですが、資料の中からケータイ関係の事例を抽出して、簡単にコメントをつけてみました。 まず、大元の記事はこちらです。 → 満足せる豚。眠たげなポチ。 大規模サービスの運用事例まとめ [blog.hacklife.net] → 満足せる豚。眠たげなポチ。 「大規模サービスの運用事例まとめ」に補記 [blog.hacklife.net] → livedoor 開
Firefoxでモバイル端末をシミュレートする独自アドオン「FireMobileSimulator」を公開します - 遙かへのスピードランナー
★重要★2008/11/15追加:公式サイトFireMobileSimulator.org開設にともない、この記事の更新はストップします。今後のアップデート情報は公式サイトで行いますのでよろしくお願いします。 モバイルサイトをPCで閲覧するために、従来からある方法として、キャリアの提供するシミュレータの使用、Proxyの使用、Firefoxのuseragentswitcher+modify headersの組み合わせ等、色々と手段はありましたが、これらの方法は、それぞれに不足している機能があったり、またITに詳しくない人とかだと導入段階でつまづいてしまったりします。 そこで、もっと簡単にモバイルサイトをPCで見るために便利なツールを作成しました。 Firefoxを簡単に携帯シミュレータにできるアドオンです。モバイル端末のHTTPリクエストや絵文字表示をシミュレートすることができます。3ヶ月
CPAN モジュールを使って楽に携帯サイトを作る方法
なにかと BK がつきまとう携帯サイト開発ですが、「これを入れると携帯対応ができます」的な単一の何かに乗っかった形ではなく、『各課題をそれぞれモジュールで解決する』という方向のサンプルサイトを作ってみました。 MobileCat 実はモバゲー、mixi はじめ Perl はそうとう携帯サイトの裏で動いていますが、いかんせん各社歴史が古いからかほとんどが独自の Web フレームワークで動いてるんですよね。そこをふまえ、今のところ一番一般的である Catalyst を使ってみています。 Mobile + Cat[alyst] なので MobileCat。名前から発想した後付けで、デザインをネコにしたり適当なネコ語になるようにしてみた。ネコは林くんに描いてもらった。 サイトは絵文字変換のテストが楽にできるよう twitter 的なもので、無駄に端末 ID 認証やメールで投稿できる機能が入ってたり
ソース逆引き - MobileCat
MobileCat のモバイルサイト的機能から見たソース逆引きと使ってるモジュールの簡単な説明です。MobileCat とは もご覧下さい。 UserAgent/IP 携帯/PCでページを切り分け HTTP::MobileAgent を Catalyst::Plugin::MobileAgent 経由で利用。TT の WRAPPER を2段にして、上の WRAPPER でモバイル用の WRAPPER と PC 用の WRAPPER を切り分けてます。 IP制限をする Net::CIDR::MobileJP を利用。帯域情報を新たに作り sharedir に置いておく場合は、同梱のスクレイパーを使いつつ以下のように入れるとすると良さげ。この場合帯域情報 YAML は make install で /usr/lib/perl5/site_perl/*/auto/Net/CIDR/MobileJ
携帯の文字コードと絵文字の基礎知識 Mobile/Encoding - CodeRepos::Share - Trac
携帯の文字コードと絵文字の基礎知識 説明 これは日本の携帯電話の文字コードと絵文字まわりの仕様をまとめた資料です。Encode::JP::Mobile の開発の中で作成されました。 記述に関してはできるだけ公式資料の URL を併記していますので合わせて参照してください。公式資料に言及されていない内容については [unofficial] を併記してあります。 修正・追記歓迎です。 DoCoMo 絵文字リスト: 基本 http://www.nttdocomo.co.jp/service/imode/make/content/pictograph/basic/index.html 拡張 http://www.nttdocomo.co.jp/service/imode/make/content/pictograph/extention/index.html DoCoMo Web 表示できる c
MobaSiF (Moba/Mobile Simple Framework)
DeNA のケータイ向けサービス「モバオク」「ポケットアフィリエイト」「モバゲータウン」などで利用されているケータイ向けウェブアプリケーションフレームワークをオープンソース化したものです。
livedoor Techブログ : livedoor Blog モバイルのサーバ構成
こんにちは、栗原です。 今回はlivedoor Blog モバイルのサーバ構成についてご紹介しようと思います。 日本でも最大規模のブログサービスのモバイルサイトがどのようなサーバ構成で稼動しているのか、またその構成を構築していく上で苦労した点や今後どのようにして行こうと考えているかについても説明できたらと思います。 サーバ構成 まずは現在のlivedoor Blog モバイルの内部構成について簡単に説明したいと思います。 livedoor Blog モバイルでは、大きく分けて5種類のサーバ群が稼動しています。 リバースプロキシ + アプリケーションサーバ ユーザが携帯からブログを閲覧した際にページを生成してレスポンスを返すサーバ群になります。現状はApache(リバースプロキシ)とApache + mod_perl(アプリケーション)を1台のサーバに同居させた形で稼動しており、台数は全部で
DeNA テクノロジーセミナーへ行ってきた
昨日、開催された DeNA テクノロジーセミナーへ行ってきました。当初の予想を大きく上まわる応募があったようで、 会場にはたくさんの人たちがきていました。 DeNA へ行く途中ですこし迷ってしまって、15 分ほど遅れてしまい、一番興味のあった MySQL の話をあまり聞くことができませんでした。今回の資料が公開されるといいのですが・・・。 以下、メモとして書いておきます。まずは、MySQL まわりの話から。 MySQL は、バージョン 5.0.45 を使った master-slave 構成(5 系には最近移行したらしい、あわせて OS も 32bit から 64 bit に変更した) OS は、CentOS4(CentOS 5 にしたいと言っていた) master が落ちたときの予備のサーバとして、別途バックアップするサーバがある Slave には、読み込み専用のユーザしか設定しない(なの
ニコニコ動画をソフトバンク携帯で見られるようにしてみた - saiten@blog
2008/10/21 サービスとして公開しました。→[id:saiten:20081020:1224522031] ニコニコ動画モバイルという携帯からニコニコ動画を閲覧できるサービスがあるんですが、携帯3キャリアのうち、なぜかソフトバンクだけは今年の4月開始時から未だに対応していません。 私的には1日1回ランキングを一通りチェックする程度には利用しているので、これを通学の時間帯に行えたらなぁ、と思ってたんですが、なかなかそんな話が出てこない。RC2開始時には対応するだろうと思ってたんですがモバイル関連の発表すらなかったですし。 そういうわけで学園祭が終わってひと段落が着いていたのと、バイト先のネタ作りも兼ねて自分でニコニコ動画モバイルのソフトバンク版を作ってみることにしました。百聞は一見にしかず。とりあえず動画を作ってみたので見てみてください。 参考までに一応他のキャリアで見た場合の動画も
ssb がすばらしすぎる件 - TokuLog 改め だまってコードを書けよハゲ
Blog Search when-present<#else>when-missing. (These only cover the last step of the expression; to cover the whole expression, use parenthesis: (myOptionalVar.foo)!myDefault, (myOptionalVar.foo)?? ---- ---- FTL stack trace ("~" means nesting-related): - Failed at: ${entry.path} [in template "__entry.ftlh" at line 3, column 25] - Reached through: #include "__entry.ftlh" [in template "entry.ftlh" at
KDDI/AUでutf-8のHTMLフォームから送られてくる絵文字コード - Bulknews::Subtech - subtech
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Google Androidの「欠落」が意味するもの
米Googleのモバイルプラットフォーム「Android」は、「何であるか」よりも「何でないか」で世間を驚かせた。 例えば、Androidは数週間前からうわさされていた、つかみどころのない「Google Phone」ではなく、Linuxベースのソフトウェアスタックだった。これにはOS、ブラウザインタフェース、ミドルウェア、アプリケーションが含まれる。 開発者は来週から、Android用のソフト開発キットを利用できる。これらはApacheライセンスバージョン2の下でライセンスされる。Android搭載の携帯電話は2008年後半に登場する見込みだ。 Googleのエリック・シュミットCEOは11月5日、Androidを発表した電話会見で、Google Phoneを開発中であることを認めることも否定することもしなかった。Androidが完全にオープンでコスト効率が高く、効率的な携帯電話アプリケー
【続報】「Androidのターゲットは携帯電話だけではない」,米グーグルの開発者が会見
グーグルの日本法人は2007年11月6日,早朝に米国で発表された携帯電話プラットフォーム「Android」(関連記事)の記者説明会を都内で開催した。記者説明会は,米グーグルでこのプロジェクトを率いる開発ディレクターのアンディ・ルビン氏とのテレカンファレンスの形で実施された(写真)。 同氏が今回の説明会で特に強調したのは,プラットフォームがオープンだという点。まず,OSとしてはLinuxを選択。GPL(general public license)のライセンス条項に触れるようなモジュールはすべて省き,「カーネル部分だけを利用し,上位のミドルウエアやユーザー・インタフェース部分などは新たに開発した」(ルビン氏)。これにより「携帯電話事業者や携帯電話メーカー,ソフトウエア開発者は独自部分を外部に公開することなく,プラットフォームを自由に使って端末を開発することができる」という。プラットフォームが
DSAS開発者の部屋:携帯ゲートウェイのIPアドレス帯更新を効率的に確認する方法
携帯電話各キャリアは、そのゲートウェイのIPアドレス帯域を公開しています。 DoCoMo au SoftBank WILLCOM 携帯ブラウザからのアクセスの場合、このIPアドレスがソースアドレスとなるので、アクセス制御や判別のために使っている方は多いのではないかと思います。 今回は、このIPアドレス帯の更新を効率的に確認する方法についてのお話です。 更新されたかどうかの確認だけならアンテナ系のWebサービスを使えばよいのですが、それだけだと、 どのIPアドレス帯が追加・削除されたのかわかりづらい。 IPアドレス帯のコピペが面倒くさい。 といった不満点があります。 そこでNet::CIDR::MobileJPというPerlのモジュールの出番です。(作者はモバイルファクトリという会社の方のようです) このモジュールには与えたIPアドレスが携帯かどうかを判別する機能があるのですが、次のようにす
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews
Googleが携帯電話向けプラットフォーム「Android」を発表