高木浩光@自宅の日記 - 日本の携帯電話はいつになったらアドレスバーを付けてくれるの?
■ docomo IDを作ると生でパスワードを保管されてしまう docomo IDについて, NTTドコモ My docomo-新規登録:ご登録前の準備, NTTドコモ docomo IDを作ると初期パスワードが発行されるが、これは各自、愛用のパスワードに変更して使えるようになっている。それなのに、「ID/パスワードをお忘れの方」の説明を見ると、パスワードを忘れたときは、携帯電話で現在のパスワードを閲覧できるのだという。 これはないわ。パスワードは照合さえできればよいのであって、不可逆変換して持っておけば十分。生で持つ*1必然性がない。パスワード忘れの場合は、再発行すれば済むこと。特にここの場合、登録時と同様に、初期パスワードを生成して画面に出せばよいのであって、何ら不都合がない。 弊社サービスではパスワードを平文で保存していますが何か, AnonymousDiary, 2010年1月2日
高木浩光@自宅の日記 - 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。
■ 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。 今月中旬のこと。私は2テラのハードディスクを買溜めするため秋葉原の街に出た。しかし、どの店が最安か調べずに出たため、やむなく携帯電話で調べることにし、価格.comのサイトを探した。すると、携帯電話用のサイト m.kakaku.com があり、私は初めてそこを使った。 サイトはとても使いやすく、すぐに意中の製品を見つけることができた。が、ここで、画面に「履歴」というリンクがあることに気づいた。「履歴」の画面に入ると、なんと、閲覧した製品が既に記録されていた。ログインしていないのに。いや、アカウントさえないのに。 これはたしかに便利な機能ではあるが、契約者固有IDを用いて実現されていることにギョッとした。同様の機能は普通のPCのインターネットでもcookieを使って実現できるわけだけども、契約者固有IDの取得と保管は、
セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
i モードブラウザ 2.0 のアップデートにより閲覧できないサイトが発生 | スラド セキュリティ
ストーリー by reo 2009年11月10日 11時30分 隠してることと知らないことは、外からは見分けがつかない 部門より 鈴の音情報局 blog の記事で話題にあがっているが、2009 年夏の i モードブラウザ 2.0 搭載機種に、10 月 27 日以降に開始された JavaScript の再有効化アップデートを当てた端末は、i モードブラウザ・フルブラウザ共に、80 番ポート (http) 以外のウェルノウンポート (ポート番号 0 ~ 1023) への接続ができなくなっているようだ (= ポート 80, 1024 ~ 65535 にはアクセスできる) 。 事前の告知もなく、i モードブラウザ 2.0 の仕様にも記述がないことからユーザーの一部で混乱が起きている。ドコモに問い合わせをしたが、何番ポートはアクセスできなくなったかなどについては教えられないという回答をされたという声
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
