ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る
WEB & NETWORK SSL/TLSより引用 わざわざSSLの場合にもゲートウェイを割り込ませている目的としては、ケータイID(UID)を付与することと、絵文字の変換があるようです。 ※注意:EZwebにもゲートウェイ型のSSLがあります(仕様)がProxyサーバーのホスト名が見えているわけではないので、今回報告するような問題はありません。 ゲートウェイ型SSLの問題点 ゲートウェイ型SSLが廃止されるきっかけは、高木浩光氏と、ソフトバンクモバイル取締役専務執行役員CTOの宮川潤一氏のtwitter上のやりとりであると言われています。この内容は、Togetterにまとめられています。これを読むと、ゲートウェイ方式のSSLでは、httpとhttpsでドメインが異なるため、Cookieを引き継ぐことができないことが問題として説明されています。現場のニーズとしてこの問題は大きいと思うのです
カードローンの審査って?
日々の暮らしの中で急なお金の不足に見舞われた時、銀行や消費者金融が提供してくれるキャッシングサービスは極めて利便性高くお金の不足を埋め合わせてくれるものです。中でも数あるキャッシング(お金を借りる)方法の中でもカードローンはスピーディーかつフレキシブルに融資してくれる手法として有名です。 カードローンとは、一枚の個人専用カードを発行することにより、それを手にして身近なATMからいつでも融資金をキャッシングできるというもの。融資限度額の範囲内であれば幾らでも何度でもお金を引き出せるので、その都度に応じた効果を発揮してくれます。しかしながらこの金融サービスを利用するには然るべき審査を受けねばなりません。 カードローンの審査は通常、窓口や自動契約機、インターネットなどで氏名、年齢、職業、勤務先、年収などを記載することで申請を行いますが、その情報を受けて金融機関では入念な審査が行われます。特に信用
携帯用SSL - 携帯サイト開発を極める!開発チームリーダーのブログ
日々めまぐるしい勢いで変わるモバイルビジネスの中心で、開発現場から生の声をお届けします! CTOを志す人、モバイルを極めたい人必見です! こんにちは、バズー株式会社、開発チームリーダーの清水です。 最近は個人情報保護の観点から、携帯サイトでもSSLを使うことが多くなっています(弊社のサービスでは必ずSSLを使うようにしています)。 ■ほぼ100%使用可能なSSL証明書 ベリサインの「セキュア・サーバID」ならほぼ100%の携帯電話で使用できます。 https://www.verisign.co.jp/index.html デメリットは価格が高いこと。最も安いもので85,050円です。また、負荷分散させる場合はサーバー台数分のSSL証明書が必要です。予算が出るようなら間違いなくこれがお勧めでしょう。 ■50%程度の機種で使用可能なSSL証明書 グローバルサインのクイック認証SSLなら25,
携帯サイト開発でのhttps(ssl通信)のメモ (treasuring misc.)
https通信をともなう携帯サイトを開発するにあたって、最近いくつかハマったのでメモ書き残し。 SSLルート証明書 ちゃんとした証明書をwwwサーバに入れておけばどのキャリアでも問題はないんですが、開発環境などでインチキ証明書を入れていると「証明書が不正です」などと言われて携帯電話実機ではアクセスできないことあり。 とくにauが条件厳しいです。DoCoMoやSoftbankではアクセスできてもauだと無理、なんて事態に。 携帯電話機にインストールされているルート証明書の詳細についてはこちらのサイトが詳しいです。 携帯電話とSSLルート証明書 ドコモのimode ID urlに「?guid=on」をつけることで今年4月から取得できるようになったiモードIDですが、httpsでの通信時には取得することができません。すべての通信でこっそり抜き取るような設計を考えているとイタい目にあいます。
auのSSLでのCookieの挙動がおかしい - maru.cc@はてな
auはCookieを使うことが出来る。キャリアの公式情報としても公開されている。 「404 Not Found」 EZweb対応端末においてCookieは、EZサーバに保管されます。 ただし、WAP2.0ブラウザ搭載端末ではEnd to EndのSSL通信時は端末に保管されます。 なお、EZサーバに保管されたCookieはKDDI設備のメンテナンスなどによりリセットされる場合があります。 つまり httpの非SSL領域では、ゲートウェイ(EZサーバ)がCookieを保管する httpsのEnt to EndのSSL領域では、端末がCookieを保管する ということだ。 これが結構曲者である。 さらに、公式な資料はないけど、端末の挙動から想像するに以下のような挙動をする。 http領域では、GWと端末の両方のCookieを送ってくる http領域で、GWと端末に同じ名前でCookieが設定さ
携帯電話とSSLルート証明書
おことわり DoCoMo, SoftBank, auの3キャリアの携帯電話端末にインストールされているルート証明書について述べる。 言うまでもなくこの文書は無保証。猛犬注意。濡れていて滑ります。 SSL非対応端末は相手しません。 せっかちな人はまとめからどうぞ。 DoCoMo DoCoMo提供の資料を見ればわかる。端末には3種類ある。 SSL対応全PDC端末およびFOMA 2001/2002/2101V/2051/2102V/2701/900iシリーズにインストールされているのは以下の5つ。 VeriSign Class 3 Primary CA VeriSign Class 3 Primary CA G2 Verisign/RSA Secure Server CA GTE CyberTrust Root GTE CyberTrust Global Root FOMA901i/700i/8
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
技術情報 EZwebにおけるSSLの仕組み
Mobile Creation | ソフトバンク
日本ベリサイン - Enterprise & Internet Security Solutions