電波チェッカーの脆弱性 | 水無月ばけらのえび日記
公開: 2010年6月14日23時40分頃 ソフトバンクのiPhone用アプリ「電波チェッカー (mb.softbank.jp)」に関して、こんなお話が。 iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ (togetter.com)電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件 (togetter.com)iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ (togetter.com)言うまでもありませんが、これは、最近議論されているケータイサイトのセキュリティ問題に関連する話です。実際に多数のサービスに問題が発見されている状況があり、電波チェッカーはそれと同じことをしているように見える……という話の流れがあります。togetterのコメントを見ていると、流れ
RSSで任意のドメインに誘導されてしまう脆弱性 | 水無月ばけらのえび日記
「tDiaryの脆弱性に関する報告(2007-07-23) (www.tdiary.org)」……って、これ、えび日記のRSSが脆弱という話とまるっきり同じですね。RSSが変だと指摘されて……という流れまで全く同じです。 そういえば脆弱性の詳細を書くと言いつつ全く書いていなかったので、深く反省。改めて書いておきます。 えび日記の RSS の脆弱性についてこの「えび日記」は RSS 1.0 のフィードを生成していますが、そのフィード中の URL のドメインを任意のものに変えられてしまうという脆弱性がありました。 RSS の中では絶対 URL が必要になりますが、Web アプリケーションが自身の「正しい」絶対 URL を知るのは意外に難しいのです。たとえば ASP.NET の場合、Request.Url の値を取ると現在の URL が分かるのですが、このとき、ドメインは単にリクエストの Hos
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
