セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
GREE、未成年の課金サービス利用を制限 テレビCM見直しも
グリーは10月13日、SNS「GREE」で、未成年ユーザーの課金サービス利用が増えていることを受け、新たに、課金上限額の設定や、テレビCMの表現を見直すといった対策を、10月中に行うと発表した。 ソフトバンクモバイルの未成年ユーザーについて、月間の課金利用金額の上限を3万円に設定する。NTTドコモとKDDIのはキャリア側で課金額の上限を設定できるため追加の対策は行わないが、状況に応じて対策を見直す。 「無料で遊べる」をうたうテレビCMについては、一部コンテンツが有料であることを示す文字の字体サイズや、背景とのコントラストなどを見直す。 今年9月には、未成年ユーザーが商品を購入する際、購入画面で親権者の同意を得ていることを確認するボタンを設置済みという。 GREEなど無料をうたうアイテム課金モデルの携帯サイトについては、親が知らない間に子どもが有料アイテムを利用し、高額な料金の請求が来てトラ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
