■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか？, さくらインターネット よくある質問（FAQ）, 2010年2月10日更新（初出日不明） Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 （略） 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管

IPA（独立行政法人情報処理推進機構、理事長：西垣 浩司）およびJPCERT/CC（一般社団法人JPCERTコーディネーションセンター、代表理事：歌代 和正）は、2010年第1四半期（1月～3月）の脆弱性関連情報の届出状況(*1)をまとめました。 URL：　http://www.ipa.go.jp/security/vuln/report/vuln2010q1.html (1) 2009年度に届出られた携帯サイトの脆弱性の1/3以上が「なりすましの危険性あり」 IPAには、パソコン向けのウェブサイトの脆弱性だけでなく、携帯電話向けのウェブサイト（以降、携帯サイト）に関する脆弱性も届出られています。届出られた脆弱性に関して携帯サイトの脆弱性には、「セッション管理の不備」や「認証に関する不備」といった、他人になりすますことが可能となる脆弱性が多いという特徴があります。2009年度に届出られた脆

HTML5 Security CheatsheetWhat your browser does when you look away...

通勤電車で周囲を見渡せば大抵数台のスマートフォンを見つけられるようなご時世ですが、現実は日本の伝統的な携帯電話が多数派です。今もそんなガラケー向けWebサイトの開発案件は衰えることありません。 そんなガラケーサイトの開発者の間で話題になっている「セキュリティ対策」について、ガラケー界の現状をふまえた上でまとめてみます。 携帯電話のIPからのアクセスであることを前提としたセキュリティ対策はすでに無駄 ソフトバンク3Gのプロクシ情報は検索すればすぐに出てきます イー・モバイルのEMnetに至っては公開情報です サイトのソースもFlashのswfも画像もPCから丸見えだと思うべきです 危険な「かんたんログイン」 かんたんログインで使う契約者IDはあなたのサイトにも他のサイトにも同じものが送出されてます 悪意をもった人が他人の契約者IDをヘッダに乗せてかんたんログインのアクションを呼び出したらどう

携帯でクッキーがどれぐらい使えるか調べたメモ。 ■３キャリア＋スマートホン（PC）対応クッキー記述 クッキーのドメイン、パス指定に何も記述しなければ完全一致として扱われるのでこれであればそのままクッキーの読み書きは可能です。 しかし一定規模のシステムであれば、クッキーのスコープを広く取りたいケースの方が多いと思います。 サブドメイン、複数のAレコードによるWebサーバが存在する場合に、３キャリア共通に使えるようにするクッキーのドメイン指定は、「.」から始まるドメインを指定することで可能です。 例： Set-Cookie: testcookie=thankyoumovatwi; path=/; domain=.movatwi.jp この辺、ハマリ所なのでウノウラボの記事もご参考ください。（なんとドメインが.jpと.inで挙動が違うらしいという、、） 携帯とCookieドメイン ■携帯電話でク