高木浩光@自宅の日記 - ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を
■ ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を 昨年示していた、 やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合, 2009年8月2日の日記 日本の携帯電話事業者の一部は、「フルブラウザ」にさえ契約者固有ID送信機能を持たせて、蛸壺の維持を謀ろうとしているが、iPhoneのような国際的デファクト標準には通用しないのであって、今後も、他のスマートフォンの普及とともに、蛸壺的手法は通用しなくなっていくであろう。 そのときに、蛸壺の中の開発者らが、このニコニコ動画の事例と同様のミスをする可能性が高い。「IPアドレス帯域」による制限が通用しない機器では、アプリケーションの内容によっては特に危険な脆弱性となるので、関係者はこのことに注意が必要である。 の懸念が、今や、さらに拡大し、ケータイ業者のみならず、一般のシステムインテグレータの思考
高木浩光@自宅の日記 - サイボウズOfficeも匙を投げた「簡単ログイン」
■ サイボウズOfficeも匙を投げた「簡単ログイン」 今年2月20日のこと、サイボウズOfficeに「簡単ログイン」機能があることに気づいた私は、以下の質問をサイボウズ社に送った。 「サイボウズ Office 8 ケータイ」の「簡単ログイン」機能についてお尋ねします。 「携帯端末認証に対応しているので、毎回ログインする手間なく利用できます」とのこと。試用版で試したところ、たしかに2度目以降はパスワードが不要のようです。 この機能は、いわゆる「契約者固有ID」を用いて実現しているものと理解していますが、「契約者固有ID」を用いて端末認証を行う場合、通常は、IPアドレス制限を行って、携帯電話事業者のゲートウェイのIPアドレスからのアクセスしか許さないように実装するものであると考えます。 しかしながら、「サイボウズ Office 8 ケータイ」はそうしたIPアドレス制限を施しておらず、一般のイ
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
高木浩光@自宅の日記 - 2年前に書いた懸念がいよいよ現実のものになりつつある, 追記, 追記2
■ 2年前に書いた懸念がいよいよ現実のものになりつつある 2008年に書いた懸念、 単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する, 2008年5月5日の日記 これが現実になりつつある。 先週、長崎市立の中学校の校長が、自宅のパソコンで、児童ポルノに該当し得ると疑われるファイル名のファイルを開いたと疑われる事態が、ウイルス(トロイの木馬)によって暴露され、三流下劣メディアから嘲笑されるという事件が起きた。 中学校校長がロリコン画像を大量所持か / 性的画像と一緒に学校資料も, ロケットニュース24, 小林涼子編集長(システム担当 矢野さとる)(29日16:30修正、下記の追記2参照), 2010年3月21日 (略)この人物が校長だといわれているのはなぜか? それはロリコン画像のほかに最近使ったデータとして学校名付きで学力向上対策.jtd、学校生協への学校紹介.
高木浩光@自宅の日記 - 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する
■ 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する 音楽6団体、違法ダウンロード防止の啓蒙キャンペーン, ケータイWatch, 2010年3月4日 プレスリリース, 音楽関係6団体「やめよう!違法ダウンロード」キャンペーン開始, 社団法人日本レコード協会, 2010年3月4日 【特設サイトURL】 パソコン http://www.happy-musiccycle.jp/ 携帯電話 http://www.happy-musiccycle.jp/mobile/ このURLがあちこちに貼られて宣伝されているようだ。たとえば、懸賞情報のメールマガジンなどに掲載されているようだ。 社団法人日本レコード協会 QUOカード1000円分300名プレゼント, 無料サンプル&懸賞情報サイト 社団法人日本レコード協会 QUOカード1000円分300名プレゼントキャンペーン! エルマークを広めよう
高木浩光@自宅の日記 - 日本の携帯電話はいつになったらアドレスバーを付けてくれるの?
■ docomo IDを作ると生でパスワードを保管されてしまう docomo IDについて, NTTドコモ My docomo-新規登録:ご登録前の準備, NTTドコモ docomo IDを作ると初期パスワードが発行されるが、これは各自、愛用のパスワードに変更して使えるようになっている。それなのに、「ID/パスワードをお忘れの方」の説明を見ると、パスワードを忘れたときは、携帯電話で現在のパスワードを閲覧できるのだという。 これはないわ。パスワードは照合さえできればよいのであって、不可逆変換して持っておけば十分。生で持つ*1必然性がない。パスワード忘れの場合は、再発行すれば済むこと。特にここの場合、登録時と同様に、初期パスワードを生成して画面に出せばよいのであって、何ら不都合がない。 弊社サービスではパスワードを平文で保存していますが何か, AnonymousDiary, 2010年1月2日
高木浩光@自宅の日記 - 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。
■ 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。 今月中旬のこと。私は2テラのハードディスクを買溜めするため秋葉原の街に出た。しかし、どの店が最安か調べずに出たため、やむなく携帯電話で調べることにし、価格.comのサイトを探した。すると、携帯電話用のサイト m.kakaku.com があり、私は初めてそこを使った。 サイトはとても使いやすく、すぐに意中の製品を見つけることができた。が、ここで、画面に「履歴」というリンクがあることに気づいた。「履歴」の画面に入ると、なんと、閲覧した製品が既に記録されていた。ログインしていないのに。いや、アカウントさえないのに。 これはたしかに便利な機能ではあるが、契約者固有IDを用いて実現されていることにギョッとした。同様の機能は普通のPCのインターネットでもcookieを使って実現できるわけだけども、契約者固有IDの取得と保管は、
このURLは存在しません。
■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする
高木浩光@自宅の日記 - 警察庁は子供にハッキングを唆すのを止めるべき(パスワードを玩具にするな)
■ 警察庁は子供にハッキングを唆すのを止めるべき(パスワードを玩具にするな) 小6・中3 サイト侵入で補導, 朝日新聞 マイタウン徳島, 2010年2月19日 女児は「アバター」と呼ばれる自分の分身に、現金と交換する疑似通貨で服やペットを買って楽しむ会員制ゲームをしていて、他人のアバターの服(2200円相当)を盗もうと計画。昨年10月、徳島市の中学3年の女子生徒に「疑似通貨を増やすいい方法を教えてあげる」とネットを通じて持ちかけてIDとパスワードを聞き出し、不正にゲームに入ったとされる。 (略)女児は「いろんなアイテムがほしくて悪いことをした」と話しているという。 小学6年生の女子児童が不正アクセス禁止法違反で補導されたというニュースだが、今もこういう事件が起きているらしい。子供達は、何が悪いこととされたのか、本当にわかっているのだろうか。同じことは6年前にも書いたが、もう一度書いておく。
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
高木浩光@自宅の日記 - なぜGoogleストリートビューカメラ問題は嘘がまかりとおるのか, 追記(20日)森亮二弁護士は解説記事でも言っていることがおかし..
■ なぜGoogleストリートビューカメラ問題は嘘がまかりとおるのか 先月、日本弁護士連合会(日弁連)が、ストリートビューに関する意見書を発表しており、これについての記者会見が先日あったようで、ちらほら報道があった。 多数の人物・家屋等を映し出すインターネット上の地図検索 システムに関する意見書, 日本弁護士連合会, 2010年1月22日 第1 意見の趣旨 1 (略)行政機関から独立した第三者機関によるプライバシー影響評価手続を経ることがない現状において,新たな地域への拡大は控えられるべきである。すでに公開されている地域においては,当該自治体の個人情報保護審議会において,下記の2(2)と同様の事後調査がなされるべきであり,その判断は尊重されるべきである。 2 個人情報保護法,個人情報保護条例において,以下の改正がなされるべきであり,その改正までの間も,以下の運用改善がなされるべきである。
高木浩光@自宅の日記 - 誤報是正「無罪判決でWinny利用者増加」は誤り
■ 誤報是正「無罪判決でWinny利用者増加」は誤り Winnyノード数は無罪判決後やや増加? ネットエージェント調査, INTERNET Watch, 2009年10月14日 逆転無罪の影響か?「Winny」のノード数が増加――ネットエージェント調べ, japan.internet.com, 2009年10月14日 逆転無罪判決でWinnyノードはやや増加、ネットエージェント, @IT, 2009年10月15日 Winny裁判、判決後にノード数が増加! 〜 10月最高値を更新, RBB TODAY, 2009年10月16日 上記の報道があり、たくさんの人々がこれを鵜呑みにしたようだが、増加した事実はない。 8月22日の日記に書いたように、5月から、Winnyネットワークに対して、ランダムなIPアドレスをソースノードとした偽キーの散布が、目的不明ながら、何者かによって断続的に実施されている
高木浩光@自宅の日記 - こたえはきっとソースの中に 〜 ドコモのCAPTCHAモドキ
そもそもこのサービスにとってCAPTCHAが何の意味をなすのか疑問*1だが、それはともかく、この部分のHTMLソースを見ると、画像のURLに答えが書かれている。(図2の「gifcat/call.php?SID=948545」) これでは何の意味もない。 これの目的がもし、他サイトからのリンクで検索させられる事態を防ぐためであるなら、画像なんか表示せず、直接INPUTフィールドに値を埋め込むようにしておけばいい話だ。*2 <input name="attestationkey" value="948545" type="hidden"> ちなみに、図2で示される画像のURLに直接アクセスしてみると、図3のように、リロードする毎に(同じ番号の)違う画像が現れる。何回か繰り返してみると、1つの数字あたり4種ほどの画像が用意されているだけだとわかる。 背景のノイズのようなものも、動的に生成されてい
高木浩光@自宅の日記 - エコポイント申請画面が共用SSLサイト上にある件
■ エコポイント申請画面が共用SSLサイト上にある件 「エコポイント」の情報システムがわずか3週間で完成した理由, 有賀貞一, NIKKEI NET, 2009年8月26日 こうした問題を解決するために、エコポイント事務局と関係省庁が選択したのが、米セールスフォース・ドットコムの基盤サービス「Force.com」だった。セールスフォースはこのForce.comを「クラウドコンピューティングプラットフォーム」と表現している。利用者はサーバーなどのインフラを持つことなく、この基盤上で独自のシステムを構築できる。 という記事を読んで、「エコポイント」のサイトを初めて訪れたのだが、これはまずい。 「エコポイント」公式サイトの運営者は、「グリーン家電エコポイント事務局」となっていて、プライバシーポリシーでも個人情報取扱責任者が「グリーン家電エコポイント事務局」として書かれている。しかし、国民の視点か
高木浩光@自宅の日記 - やはり「元データは保管していない」は虚偽だった
■ やはり「元データは保管していない」は虚偽だった 今日の朝日新聞朝刊「b4」面に、Google Earthについて米Google, Inc.担当副社長がインタビューに答えた記事が出ているが、この中で、日本のストリートビューについての質問にも応じて、次のように答えている。 ストリートビューについても尋ねた。(略)日本では昨夏始まり、塀越しに自宅が撮影されるなどプライバシーを中心に問題になった。 「道幅の狭さ、塀の中の庭、街のつくりなど、日米の違いをよく認識していなかった。例えば米国の家に表札はない。日本の事情に合わせ、変えるべき点は変えていく」 人の顔にぼかしを入れ、ユーザーから削除を申請された写真は表示されない。こうした写真の元データをグーグルはどうしているのか。 「保存しています。地図の間違いやぼかし技術の点検のためで、一定期間後に消去することになるでしょう。問題のないものは原則として
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
高木浩光@自宅の日記 - はてブiPhoneアプリでログインしてはいけない