高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか
■ 携帯電話向けWebアプリの脆弱性事情はどうなっているのか WEB+DB PRESS誌のVol.37に「携帯サイト開発 実践テクニック 2007」という記事が掲載されているのだが、そこにこんな記述があった。 端末認証 登録が必要なサイトの場合,利用する際にはログインが必要です.ID/パスワードを毎回入力するのでは,携帯の場合では特に面倒です. そこで携帯ならではの認証方法として,現在の端末では取得が容易にできる端末自体の情報(端末ID)を利用します. (略) セッション PCサイトでセッションを使う場合は,通常セッションIDをCookieに保存しますが,携帯ブラウザではCookieにデータを保存することができません.そこで携帯サイトでCookieを使う場合はURLにセッションIDを埋め込むことになります. セッションIDをGETで渡す セッションIDをGETで渡す場合は,PHPの設定ファ
脆弱性のユーザ自衛について思うこと
システムの利用者がシステムを使うにあたり、基本的な脆弱性がないかを調べる(+見つけたらサイト管理者に報告)という行為、はたして良いことなのか悪いことなのか? 「それは犯罪行為だ!!」、「気になるならチェックすれば?」、「絶対チェックするべきだ!」、といろんな意見があるかと思うけど、私は「利用者にもチェックする権利」はあるんじゃないかと思う。 具体的に何をしたか?、悪意があったのか?のポイントでもちろん犯罪にもなると思うけど、悪意なしでのチェック(データ書き換えたり人のデータを見たりなどをしない)+すぐに管理者への報告を行えば、悪意が無かったことは簡単に証明される(できる)と思うし、チェックをする行為は問題ないんじゃないかとやっぱり思ってしまう。 ちょっと話が変わるけれど… 以前会社で、メーリングリストを社外のASPを利用するか、社内に構築するかという話になり、 その時に「社外の管理で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
