しゃおの雑記帳 - 携帯サイト開発者のためのセキュリティ再入門
通勤電車で周囲を見渡せば大抵数台のスマートフォンを見つけられるようなご時世ですが、現実は日本の伝統的な携帯電話が多数派です。今もそんなガラケー向けWebサイトの開発案件は衰えることありません。 そんなガラケーサイトの開発者の間で話題になっている「セキュリティ対策」について、ガラケー界の現状をふまえた上でまとめてみます。 携帯電話のIPからのアクセスであることを前提としたセキュリティ対策はすでに無駄 ソフトバンク3Gのプロクシ情報は検索すればすぐに出てきます イー・モバイルのEMnetに至っては公開情報です サイトのソースもFlashのswfも画像もPCから丸見えだと思うべきです 危険な「かんたんログイン」 かんたんログインで使う契約者IDはあなたのサイトにも他のサイトにも同じものが送出されてます 悪意をもった人が他人の契約者IDをヘッダに乗せてかんたんログインのアクションを呼び出したらどう
続:携帯で端末ID詐称は可能かもしれない話 | [ bROOM.LOG ! ]
「SSL対応」という箇所がある。docomoのUTNとSBシリアル番号およびauのEZ番号のみが○である。 SB公式UID(x-jphone-uid)はSSLゲートウェイを指定すればOKだが他については全て×だ。 これは大変重要な事実を示している。 UTNとSBシリアル番号が○なのは当然だ。SSLはポイント・トゥー・ポイントプロトコルであり、つまりブラウザ (この場合は端末)とWEBサーバーが直接暗号通信することで通信が傍受されたり改変されないことを保証するからだ。逆に言えば通常の携帯ゲートウェイがこの直接通信に介入することはできない(SSLゲートウェイは端末<->SSLゲートウェイ<->WEBサーバという2つの通信を見かけ上束ねているだけだ)。 なのでiモードIDやNULLGWDOCOMO、SB公式uidがSSLに対応しないのはゲートウェイでHTTPヘッダーを付加する必要があるから、と理
安全なSQLの呼び出し方
2010 年 3 月 「安全なウェブサイトの作り方」 別冊 安全な S Q L の 呼び出し方 本書は、以下の URL からダウンロードできます。 「安全な SQL の呼び出し方」 http://www.ipa.go.jp/security/vuln/websecurity.html 目次 目次.....................................................................................................................................................................................................2 はじめに.................................................
ウノウラボ Unoh Labs: いまさら、ディレクトリトラバーサルについて語ってみる
Keitaです。 ディレクトリトラバーサルという言葉があります。 今では、常識になっており、開発するときには無意識に対策する(されている)人がほとんどだと思います。 ただ、DBにデータを格納することが当たり前の昨今ファイルの扱いをちゃんとできない人もたまーにお会いするのでので、個人的にPHPでやっていることを書いておきます。 どんなものか 詳しい定義は各自調べてもらうとして一例を一つ。 次のコードをみてください <?php $file = $_GET['file']; $dir = '/pngdir/'; $filepath .= $dir . $file; if (! file_exists($filepath)) { $filepath = $dir . 'nofile.png'; } header("Content-Type: image/png"); header("C
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
» セキュアなサーバを作るために最低限やっておくこと: エスキュービズム ラボ Blog
Recent Entries セキュアなサーバを作るために最低限やっておくこと Yahooキーワード抽出APIライブラリ テスト駆動開発 (test driven development: TDD) のすすめ GoogleAnalyticsAPI on EC-CUBE 土日で作るコンパイラ OPEN ERPに挑戦3 OPEN ERPに挑戦2 OPEN ERPに挑戦 ERPはたくさんあれど・・・ OpenGLで3D、やってみよう Recent Comments No Responses. Recent Trackbacks テスト駆動開発 (test driven development: TDD) のすすめ 06/11 » Yahooキーワード抽出... みなさんはサーバを管理するときに、何を一番気にしますか? 人によって程度の差はあるのでしょうが、誰もが気になるのが「セキュリティ」でしょ
おさかなラボ - 携帯電話のIPアドレス制限神話
珍しく間違った批判をしている高木先生@y-kawazの日記 但し、キャリア毎にIPアドレス制限をする限りにおいて この前提を満たすことが可能なのかどうかについて。 DoCoMo(i-mode) 本情報はあくまでも目安としてご参照ください。iモードセンタ以外から本IPアドレスでのアクセスがない事を保証するものではありません。 SoftBank 本情報はあくまでも目安としてご参照ください。ゲートウェイ以外から本IPアドレスでのアクセスがない事を保証するものではありません。 au(EZweb) 本情報はEZサーバ以外のホストによる上記表のIPアドレスでのアクセスがないことを保証するものではありません。 まるでコピp…いや判で押したような記述だ。つまり、この情報を元にIPアドレス制限を行なっても携帯電話からのアクセスであると保証されるわけではないということだ。これではいわゆる野良
『PHPサイバーテロの技法──』 まずは攻撃方法を学ぶ
攻撃は最大の防御なり! 突然何かを受信して、『PHP サイバーテロの技法──』を読み始めました。これがまた、面白い! この本で特に面白いのは、「実際に攻撃してみましょう」というスタンスなのが楽しい。──と言っても、どこかの掲示板に悪意を持ったスクリプトを仕掛ける、というわけではなく、サンプルをダウンロードしてローカル環境で試すわけです。──もちろん、そこで得た知識で悪戯をしたくなるのも人情ですが──。 ぼくはまちちゃん! の「善意の悪戯」の数々を見て、どうやって脆弱性を見つけるのかな? と興味を持った方(それ何てオレ?)にお勧めしたいです。 間違った読み方 さて、この本を自分はどんな感じで読んでいるかというと──何度も書いているように、ほとんど PHP の事を知らない、というかプログラミングのことが判ってないので──全くと言っていいほど、何が書いてあるか解らない。しかし、それが逆に楽しいで
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
携帯3キャリア個体識別情報(uid)の特徴 - 有限会社テクニカル・パズル
FreeBSDいちゃらぶ日記