Hideki SAKAMOTO の雑記 (2010-06-23)
◆ [Rails] 「Ruby on Rails 携帯サイト開発技法」第9章のサンプルコードに含まれる脆弱性について .tright small.(2010/6/25公開)^J2010/6/27: 「追記1」記載、微修正^J2010/6/28: 脚注*5 修正 まとめ ソフトバンククリエイティブ社から発行されている「Ruby on Rails 携帯サイト開発技法」の第9章に掲載されているサンプルコード(ファイル4/4)にはセッションIDの発行・管理に不備があるため、セッションハイジャックが可能です。 解説 この本の第9章には「携帯端末特化型セッション管理」と称していわゆる「かんたんログイン」の実装サンプルが掲載されています。第9章の冒頭部分から、その特長に関する記述を抜粋すると、 Cookieの代わりにリクエストヘッダからの情報を使ってセッション管理を行うという、携帯サイトならではのセッシ
高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
しゃおの雑記帳 - 携帯サイトセキュリティTODOリスト
前回のエントリ “携帯サイト開発者のためのセキュリティ再入門” が割と広範囲にお読みいただけているようです。ありがとうございます。ただあの記事は単に列挙しただけなので「何をまずやればいいのか」具体的なものが見えてこない気がしますのでメモとして再構成してみました。前回書いたように「契約者IDによるかんたんログイン機能を撤廃しよう」がすぐにできるのであればいいですが、なかなかできないのが現実でしょうから、「緊急度の高い対策」から順に扱っていこうと思います。 契約者ID(UID)で認証しているサイトはすぐにやろう キャリアのIP帯、User Agent、UIDのペアを確実に検証するようにする 例えばドコモのIP帯 + ドコモのUser Agent + X-DCMGUID でのみ認証できるようにします。 もし [携帯電話のIP帯 (各キャリアのリストをマージしたもの) + ドコモの User Ag
OpenPNE 3.5.3 でおこなった「かんたんログイン」の変更について|OpenPNE
OpenPNE 開発チームの海老原です。 OpenPNE 3.5.3 リリースのお知らせ http://www.openpne.jp/archives/5068/ にて、開発版 OpenPNE 3.5.3 に「かんたんログイン」機能に対して変更をおこなったことについて触れましたが、このエントリではその詳細について説明いたします。 目次 そもそも「かんたんログイン」とは 「かんたんログイン」の問題点 今回の OpenPNE の対応について 認証に使用している ID について OpenPNE ではログイン以外の用途で携帯電話個体識別番号を使用しているか SNS 運営者様へ 携帯サイトおよび携帯サイト向けソフトウェアの開発者様へ そもそも「かんたんログイン」とは 「かんたんログイン」とは、携帯電話の端末固有 ID (OpenPNE では「携帯電話個体識別番号」と呼称しています) を使用したログイ
位置ゲーの位置詐称対策で検討すべき事
OHTSUKA Ko-hei @kokogiko @niryuu 後者の前提で一般的な話をすると、結局ケータイでの位置取得はGET/POSTでの経緯度通知にすぎないので、ユーザが嘘情報を流し込むと詐称されてしまいます。なので、確実に自分達のリンクから来たと検証する手段か、GET/POSTの送付先を知られないための隠蔽手段が必要。 2010-06-09 23:49:30 OHTSUKA Ko-hei @kokogiko 前者の場合、Cookieに1回限りの使い捨てセッション埋め込んだり、Refererをチェックしたりで防げます。最近はCookieやRefererに対応したケータイが主流になってきたので、古い(と言っても意外と最近までですが)DoCoMoケータイを無視するならこれが一番簡単かと。 2010-06-09 23:52:27
セキュリティ情報 - Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題
文書番号HASHC2010052401 Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 HASHコンサルティング株式会社 公開日:2010年5月24日 概要 昨年11月24日づけアドバイザリにて、iモードブラウザ2.0のJavaScriptにより、携帯端末に割り当てられたID(以下、端末固有ID)を利用した認証機能(以下、かんたんログイン)に対する不正アクセスが可能となる場合があることを報告した。その後の調査により、同種の問題がYahoo!ケータイのブラウザ(通信事業者はソフトバンクモバイル)でも発生することを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者およびYahoo!ケータイ利用者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザに用意された端末固有IDを利用した簡易的な認証であり、ユーザがIDやパスワード
Utilz: 携帯識別
User-Agent ユーザーが「携帯電話製造番号通知」確認画面でYESを選択すると、User-Agentに "ser***********" 形式で製造番号が付加されます。 DoCoMo/1.0/P503i/c10/ser*********** FOMA端末製造番号(DoCoMo FOMA) 携帯端末の製造番号です。同一ユーザーでも端末買い増しをしているユーザーがUIMカードを別端末に入れ替えることで異なる値になります。Movaと同様に毎回確認画面が表示されます。 取得方法 Movaと同じです。XHTMLの場合は以下のようにします。 User-Agent User-Agentに "serXXXXXXXXXXXXXXX" 形式で製造番号が付加されます。同時にFOMAカード製造番号も付加されます。 DoCoMo/2.0 P902i(c100;TB;W24H12;serXXXXXXXXXXX
IPアドレスブロックを集中管理する方法と、その活用法 - (ひ)メモ
やりたいこと 携帯3キャリアのIPアドレスブロックは比較的頻繁に変わるので自動更新したい 自宅やオフィスその他のIPアドレスは、変わることがあまりないので手動管理でいい これらIPアドレスブロックの情報は、後述する通りいろいろなところで使いたい 即ち、いろいろな形式で表現したい このように、頻度の差こそあれ、IPアドレスブロックは増減したり新しいブロックが追加したりするので、簡素な機構で包括的な管理をしたい。 実現方法 スクリプトを2つ書きました。いずれもgithubにあります。 http://github.com/hirose31/cidr-manager 図も用意しました。 update-mobilejp-cidr キャリアのサイトをスクレイピングして、指定されたディレクトリにその情報を書き出します。 その形式は、1行1アドレスブロック、コメントは "#" です。 $ cat plai
高木浩光@自宅の日記 - 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する
■ 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する 音楽6団体、違法ダウンロード防止の啓蒙キャンペーン, ケータイWatch, 2010年3月4日 プレスリリース, 音楽関係6団体「やめよう!違法ダウンロード」キャンペーン開始, 社団法人日本レコード協会, 2010年3月4日 【特設サイトURL】 パソコン http://www.happy-musiccycle.jp/ 携帯電話 http://www.happy-musiccycle.jp/mobile/ このURLがあちこちに貼られて宣伝されているようだ。たとえば、懸賞情報のメールマガジンなどに掲載されているようだ。 社団法人日本レコード協会 QUOカード1000円分300名プレゼント, 無料サンプル&懸賞情報サイト 社団法人日本レコード協会 QUOカード1000円分300名プレゼントキャンペーン! エルマークを広めよう
周波数政策を誤れば「棺桶の蓋に釘」となる - michikaifu’s diary
前回の続き。現象としてのパラダイス鎖国は日本のいろいろなところに現出しているが、それに対してどうすればいいかということについては、それぞれの人や企業のおかれた立場や持っている強みなどにより、違うことをやらないといけない。「ニッポンはこうすべきだぁ」とすべての日本人をひっくるめて議論する時代は終わり、それぞれが自分の強みを活かして多様化することが、結果的に鎖国の弊害から日本を救うことになると思う、という話は「パラダイス鎖国」の本に延々と書いたので、そちらを参照してほしい。 そういうことで、個別の話はそれぞれなのだが、一つ言いたいのは、通信における政府の役割として最も重要な(これまでのどの時代にも増して、ものすごくクリティカルな)役割、周波数割り当てのことである。産業政策とかICTの将来像とか、そんなどうせ誰にもわからないことは群集知に任せ、他の人にはできない役割として、本当にこれはしっかりや
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
絵文字が開いてしまった「パンドラの箱」第7回--そして舞台はダブリンから東京へ
日本地図が国際規格にふさわしくない理由 2009年4月21日、ここはアイルランドのダブリン・シティ大学です。ISO/IEC 10646を審議する第54回WG 2会議は、2日目の日程に入っていました。この日はいくつかの分科会に分かれテーマ別に審議が進められます。そのうちの一つ、Emojiアドホック会議では、GoogleとAppleによって提案された絵文字の審議がおこなわれていました。 開催前は激しい対立が予想されていましたが、いざフタを開けるとGoogleとAppleが一員であるアメリカ・ナショナルボディ(以下、ナショナルボディはNBと略)の大幅な妥協によって合意が成立していきます。残ったのは議長が後回しにしておいた「議論の余地のあるもの」だけになりました。 これは全部で3種類あります。まずは5文字の「日本の文化に依存したアイコン文字」です。どんな文字か確認してみましょう。 図1 日本の文化
case:MobileDesign! モバイルサイトのデザイン紹介ブログ
case:MobileDesign! モバイルサイトのデザイン紹介ブログ 引っ越ししました。 http://case-mobile-design.com/ case:MobileDesign! モバイルサイトのデザイン紹介ブログ > 2010-01-22 >
ウノウラボ Unoh Labs: Flash Lite初学者の為のまとめ
おはようございます。内田です。 最近はmixiアプリモバイルやモバゲー上のゲームのようなソーシャルゲームが流行ってるようですね。 私もソーシャルゲーム&Flash Lite案件を手がけることになったので、その時に参考にしたサイトを紹介します。 開発の前に覚えること 最初にFlash Liteの仕様とケータイ開発の障壁ともいえるキャリア間の差異を知る必要があります。 Flash Lite ことはじめ。 我らがryosuke氏のエントリー 仕様とキャリア毎の情報が分かりやすくまとまってます。 [Flash Lite 1.1]制作前に知っておきたいことをQ&A形式でまとめてみた 上記エントリーと重複する部分も多いですが、Q&Aの形で調べやすい。 「一般的なガイドラインが知りたい!」を厳守すれば3キャリアで動作するswfがつくれそうです。 コンテンツの作成 Flash Liteコンテンツのつく
モバイルサイト/SNSアプリ運営のためのCMS
モバイルサイトの運営とCMSに求められる機能について筆者の過去の経験、現在の自説や17のポイント、未来の予測を提示する ここが大変だよ、モバイルサイト運営 さまざまなタイプのCMSを実践的な視点から紹介している本連載ですが、最終回の今回は、最近注目が高まっているモバイルサイトやSNSアプリを運営するためのCMSについて紹介します。 最初にお断りしておく必要があるのですが、筆者はモバイルサイトのCMSに関しては中立的な立場というわけではありません。筆者の経営するユビキタスエンターテインメントは、モバイルサイト向けCMSの開発・販売をしております。 しかし筆者は、ドワンゴでサラリーマンをしていたころから、モバイルサイトの企画・開発で10年以上の実務経験があり、CMSを生業とするようになったのも、「モバイルサイトの運営」という難題を通じてでした。 そこで今回は、いつもと趣向を変えて、モバイルサイ
るびま
『るびま』は、Ruby に関する技術記事はもちろんのこと、Rubyist へのインタビューやエッセイ、その他をお届けするウェブ雑誌です。 Rubyist Magazine について 『Rubyist Magazine』、略して『るびま』は、日本 Ruby の会の有志による Rubyist の Rubyist による、Rubyist とそうでない人のためのウェブ雑誌です。 最新号 Rubyist Magazine 0058 号 バックナンバー Rubyist Magazine 0058 号 RubyKaigi 2018 直前特集号 Rubyist Magazine 0057 号 RubyKaigi 2017 直前特集号 Rubyist Magazine 0056 号 Rubyist Magazine 0055 号 Rubyist Magazine 0054 号 東京 Ruby 会議 11 直
携帯サイト[xhtml]のコーディング前のチェックポイント │ これからゆっくり考L +α
前回のhtml版に引き続き、今回はxhtmlの場合です。 htmlと比べて出来ることが増えるので色々なデザインの再現が可能ですが、やはり3キャリア1ソースとなると気をつけるべきポイントがいくつかあります。 コーダー(もしくはディレクター?)さんは、デザインをパッと見て「このデザインで組めます!」「組めません無理です...」の判断が咄嗟にできるようになると素敵だと思います。 デザイナーさんは、これからあげるチェックポイントを頭の片隅にいれつつデザインしていただけると、コーダーからの戻しが少なくてすむようになるかと思います。 前置きはこのぐらいにして、早速本題へ。 以下が今回のサンプルデザインです。 「これをxhtml、3キャリ1ソースコーディングしてください」 と言われた場合で考えていきます。 前提条件は、 ・3キャリア1ソース ・xhtml ・文字コード:Shift-JIS ・改行コード:
atword.jp - このウェブサイトは販売用です! - レンタル テンプレート 無料ブログ ワードプレス サーバ リソースおよび情報
このウェブサイトは販売用です! atword.jp は、あなたがお探しの情報の全ての最新かつ最適なソースです。一般トピックからここから検索できる内容は、atword.jpが全てとなります。あなたがお探しの内容が見つかることを願っています!
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
絵文字を「符号」として処理する難しさ~日本のモバイルウェブのカオスぶり バイドゥ「絵文字の意味検索」ができるまで(1)
Baiduモバイル | スマートサマリーで快適なモバイル検索を! | Baidu Japan Blog