「PCでは見えないはず」に頼ることの危険性
“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 無視できない“ケータイWeb”セキュリティ はじめまして。今回からこの連載を担当することになりました徳丸浩といいます。この連載では、携帯電話向けWebアプリケーション(以後「ケータイWeb」と表記します)のセキュリティについて解説します。ここでいう携帯電話とは、iモードやEZweb、Yahoo!ケータイなど、日本で従来、広く利用されているサービスを指します。一方、いわゆるフルブラウザやiPhone、Android端末などは含みません。 ケータイWebは、一般のPCなどから利用されるWebと比較して、使用技術の90%くらいは共通
はてなブックマーク開発ブログ
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。2024年2月のトップ50です*1。 順位 タイトル 1位 マンションリフォーム虎の巻 2位 死ぬほど嫌でした|佐藤秀峰 3位 「面倒なことはChatGPTにやらせよう」の全プロンプトを実行した配信のリンクを整理しました|カレーちゃん 4位 管理職必読 順番に読むと理解が深まる「マネジメントの名著」11冊 | 日経BOOKプラス 5位 メルカリで値段の「¥マーク」を小さくしたら購入率が伸びた理由、ペイディがサービス名を「カタカナ表記」にする理由など、プロダクトのマーケ施策まとめ30(2023)|アプリマーケティング研究所 6位 7年適当に自炊してきて調味料について思ったことを書く 7位 ウクライナ軍に入隊したアジャイルコーチが、さまざまなメソッドを駆使して中隊長としてのリーダーシップを実現した話(
ke-tai.org > Blog Archive > はてなブックマークモバイル版の脆弱性とその対策について
はてなブックマークモバイル版の脆弱性とその対策について Tweet 2009/10/2 金曜日 matsui Posted in ニュース, 記事紹介・リンク | 3 Comments » 先日はてなブックーマークモバイル版で、他人になりすましてアクセスできるという脆弱性があったのですが、 はてなからそれに対する公式なコメントが出ているようです。 原因とその対策についても触れられており、モバイルサイトを作成している方には参考になると思われるため、ご紹介させていただきます。 → はてなブックマーク日記 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 [hatena.ne.jp] ご存知のない方のために軽く説明すると、9月下旬にid:guldeen氏のブックマークコメントが、何者かに改ざんされるという事件がありました。 当初、パスワードが盗まれたのでは?という話
i-mode2.0セキュリティの検討: 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 - 徳丸浩の日記(2009-08-05)
_携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログインの可能性について検討する。 5月28にはてなダイアリーに書いた日記「i-mode2.0は前途多難」にて、今年のNTTドコモの夏モデルP-07AにてJavaScript機能が利用停止されたことを指摘した。同日付のNTTドコモ社のリリースによると、「ソフトウェア更新に伴い、高度化した機能の一部をご利用いただけなくなっていますが、再びご利用いただけるよう速やかに対処いたします」とあったが、それ以来2ヶ月以上が経つものの、未だにJavaScript機能は利用できない状態のままだ。 実は、NTTドコモ社が慌てふためいてJavaScript機能を急遽停止
-OASIS- - 今日のメモ「携帯におけるセッションとセキュリティ(PHP)」
ログイン機能を持つモバイルサイトではセッションが必要不可欠になるが、そのセキュリティ問題についての備忘録。 以下、問題に関しての参考サイト。 ke-tai.org - PHPで携帯からセッションを使う場合の設定方法 maru.cc@はてな - auのSSLでcookieの挙動がおかしい maru.cc@はてな - au、SoftBankでSSLでCookieセッションを使用する場合の問題点 [DoCoMo] DoCoMoの端末はCookieが使えないので、セッションを使うには必然的にApacheのsession.use_trans_sidを使う事になる(URLの中にセッションIDを埋め込む方式)。 この時問題になるのは2点。 まずURLの流出によるセッションハイジャック。携帯はPCに比べ、この問題が表面化しやすい。これは、友達にサイトを教えようと今見ているページのURLをそのままメールで送
携帯電話セッションハイジャック問題 - LukeSilvia’s diary
■何が問題なのか たとえば、ログインしたユーザーがAさんがマイページにいるとします。そうすると、URLにはセッションがついています。そのセッションつきのURLを友人Bさんの携帯電話に送信し、BさんがそのURLでアクセスすると、Aさんのマイページが表示されてしまう。 ■解決策 a.. モバゲー式でやります a.. 対策1 履歴書の編集画面等への他人に編集されてはこまるページは個体識別番号を聞き、その個体識別番号がセッションIDが保持するユーザーIDとマッチするか確認する。 b.. 対策2 セッション生成時にユーザーエージェント情報を取得し、セッション情報と結びつけます。これで、機種が違えばセッションハイジャックはありえません。 対策1を実装することにより、他人に編集されてはまずいページをガードします。 対策2を実装することにより、「セッションハイジャックできないかも??」と思わせることができ
携帯でuse_trans_sidを使ったセッションの扱い 後編
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2023年5月時点の調査。
ke-tai.org » Blog Archive » PHPでケータイからセッションを使う場合の設定方法
PHPでケータイからセッションを使う場合の設定方法 Tweet 2007/12/12 水曜日 matsui Posted in PHP, サーバ | 23 Comments » 今回は、ケータイ上からPHPのセッションを使う場合の設定方法についてです。 ケータイからPHPのセッションを機能を使う場合、端末によってはクッキーが利用できない場合があるため、そのままでは使うことができません。 セッションを使いたい場合は、インストール時のconfigureオプションに、「–enable-trans-sid」を付ける必要があります。 ※Windowsの場合は特に設定の必要はありません。 また、「php.ini」の設定で、次のように設定してください。 ※設定変更後はWebサーバの再起動が必要です session.use_trans_sid = 1 もしくは「.htaccess」でも設定することができま
セッションID付きURLが Bot にインデックスされる等で、セッションID漏えい問題に対応したい - 基本へ帰ろう
what 携帯サイトで、セッションID付きURLを利用して、セッションIDを引き回すと、セッションIDが漏えいするケースが多いため、セッションハイジャックにつながりやすいので、なるべくセッションIDを漏えいしにくい作りにしたい。 ちょっとググればたくさんこの話題は出てくるが、自分なりにまとめる。 結論 セッション付きURLを利用している限り、セッションIDの漏えいの可能性を0にすることは難しい。ただしセッションIDの漏えいとセッションハイジャックの可能性を下げることは可能なので、可能性を下げる努力をする。 一番良いのは、「ログインごとに新しいセッションIDを発行する」だと思う。 ただし、携帯サイトとPCサイトで同じセッションを利用している場合、PC側で「次回から入力を省略する」ということができなくなる。諸刃の剣ですなぁ・・・。 セッションIDが漏えいするケース セッションID付きURLをG
C-Production – UNIXとプログラミングの備忘録
大変ご無沙汰です。約1年半ぶりの更新です。 昨日、ブログを設置しているサーバでOSのアップデートに問題が発生したため、これを機に新サーバ・新OSに乗り換えることにしました。 現在のブログがマルチサイトのため、そのままでは新サーバの構築に苦戦すると予想されるため、他のブログの記事を統合しました。 統合内容は以下の通りです。 ・C-Production ・・・ メインサイトのため、他のブログを吸収して継続。 ・♪8thNote♪ ・・・ メインサイトに統合済みだったので、削除。 ・モバイル魂 ・・・ メインサイトに記事を引き継ぎ、並行稼働中。 ・無線のドキュメント ・・・ もともと閉鎖予定だったので、そのまま削除 外部SNSのアカウントについてはそのまま継続します。 今後ともよろしくお願いします。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
プロバイダのリモートホスト Wiki - 携帯電話