携帯電話事業者に学ぶ「XSS対策」 - ockeghem's blog
NTTドコモとソフトバンクモバイルは、フィーチャーフォン(いわゆるガラケー)にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている(しようとしている)挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。 NTTドコモに学ぶ「XSS対策」まず、サンプルとして以下のようなXSS脆弱なスクリプトを用意します。 <?php session_start(); ?> <body> こんにちは<?php echo $_GET['p']; ?>さん </body>これを以下のURLで起動すると、IE7では下図のような表示になります。 []http://example.com/xss01.php?p=山田<scrip
ソフトバンクでの端末固有ID(製造番号)と契約者ID(ユーザーID)の説明 - Hideki SAKAMOTO の雑記 (2010-05-27)
◆ ソフトバンクでの端末固有ID(製造番号)と契約者ID(ユーザーID)の説明 修正履歴 5/31:機種名typo"702SHf"→"703SHf"、まとめ、コメント、他 契約者固有IDや端末固有IDについて、ソフトバンクや端末メーカーがユーザーに対してどのような説明をしているのか調べてみました。特に狙っていたわけではなく、単に状況を整理するだけのつもりだったのですが、見えてきたのは業界を挙げて間違った方向に進んでいるという悲しい現実でした。 簡単に状況をまとめておくと、次のような感じになります。 ソフトバンクでは利用者を識別可能なIDとして、ウェブサイト提供者に対してユーザID(契約者固有ID)と製造番号(端末固有ID)の2種類を通知可能にしている ユーザIDは携帯電話からの通信がソフトバンクのゲートウェイ(中継所)を通過する際に付与される。詐称についての対策もされているので、ソフトバン
Railsで携帯サイトを作るには – Ruby on Rails携帯サイト開発技法 - stnard.jp
Ruby on Rails携帯サイト開発技法 著者/訳者:伊藤 祐策 富田 陽介 三上 喜之 出版社:ソフトバンククリエイティブ( 2010-04-30 ) 大型本:312 ページ @yoshukiさんに献本していただきました。ありがとうございます。と言うわけで、書評を。 またもや端末識別番号問題 まず最初に残念な点を。最後の章でjpmobileを使わないで自前で機能を実装しているのですが、セッション管理に端末識別番号を利用してしまっています。これは高木さんがよく言われている由々しき問題で、エンジニアとしてはやってはいけないことのはずです。 ここまで破綻しているケータイID認証(簡単ログイン) on 高木浩光@自宅の日記 せっかくその前の章でSession Fixationの話がでたのに、最後にそれを台無しにしてしまう内容は、少し残念でした。Railsで携帯サイト開発の初の本なのでよけ
しゃおの雑記帳 - 携帯サイト開発者のためのセキュリティ再入門
通勤電車で周囲を見渡せば大抵数台のスマートフォンを見つけられるようなご時世ですが、現実は日本の伝統的な携帯電話が多数派です。今もそんなガラケー向けWebサイトの開発案件は衰えることありません。 そんなガラケーサイトの開発者の間で話題になっている「セキュリティ対策」について、ガラケー界の現状をふまえた上でまとめてみます。 携帯電話のIPからのアクセスであることを前提としたセキュリティ対策はすでに無駄 ソフトバンク3Gのプロクシ情報は検索すればすぐに出てきます イー・モバイルのEMnetに至っては公開情報です サイトのソースもFlashのswfも画像もPCから丸見えだと思うべきです 危険な「かんたんログイン」 かんたんログインで使う契約者IDはあなたのサイトにも他のサイトにも同じものが送出されてます 悪意をもった人が他人の契約者IDをヘッダに乗せてかんたんログインのアクションを呼び出したらどう
携帯サイトを作る時に役立ちそうな情報まとめ - かちびと.net
ちょっと必要に迫られたのでメモ。 どうもTwitterやってるとiPhoneや Androidなどのスマートフォンの 話題ばかりなので忘れそうですが、 携帯サイトはビジネスには必須 ですので備忘録として記事に。 以前にも何度かまとめ記事が話題に上がっているので今更感も否めませんが自分のブログにあったほうが探しやすいのでメモします。 予備知識 モバイルサイト構築前に知っておきたいユーザビリティ10のポイント ファーストビューの重要性、色の大事さ、リンク操作に関して記載されています。 モバイルサイト構築前に知っておきたいユーザビリティ10のポイント 携帯サイト(html)の制作に入る前に確認しておきたいチェック項目 サンプルを元に解説してくれているので分かりやすいです。 携帯サイト(html)の制作に入る前に確認しておきたいチェック項目 携帯サイトの作り方 5年前の情報なので参考程度に。今は随
[携帯]カラーコードを3桁で指定するとどうなるか │ これからゆっくり考L +α
背景色、文字色は通常6桁のカラーコードで指定しますが、CSSでは省略して3桁で書くことができます。 では、htmlで3桁のカラーコードを使っちゃうとどういうことになるか、というのをキャリア別にチェックしてみました。 先に結論を言ってしまうと、 「HTMLでカラーコード3桁は使うな」 ということなんですが、実際自分がつい使っちゃったことがあってしばしはまった経験があるので...一応書き残しておこうと思った次第です。 サンプルページ QRコード →サンプルページを見る 3桁でカラーコードを指定するとどうなるか bodyタグに背景色をカラーコード3桁で指定 <body bgcolor="#333"> docomo(iモードブラウザ1.0) [F-09A]背景が真っ黒になります。 [SO903i]背景が真っ白になります。 [D902i]背景が真っ白になります。 docomo(iモードブラウザ2.0
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
ウノウラボ Unoh Labs: Flash Lite初学者の為のまとめ
おはようございます。内田です。 最近はmixiアプリモバイルやモバゲー上のゲームのようなソーシャルゲームが流行ってるようですね。 私もソーシャルゲーム&Flash Lite案件を手がけることになったので、その時に参考にしたサイトを紹介します。 開発の前に覚えること 最初にFlash Liteの仕様とケータイ開発の障壁ともいえるキャリア間の差異を知る必要があります。 Flash Lite ことはじめ。 我らがryosuke氏のエントリー 仕様とキャリア毎の情報が分かりやすくまとまってます。 [Flash Lite 1.1]制作前に知っておきたいことをQ&A形式でまとめてみた 上記エントリーと重複する部分も多いですが、Q&Aの形で調べやすい。 「一般的なガイドラインが知りたい!」を厳守すれば3キャリアで動作するswfがつくれそうです。 コンテンツの作成 Flash Liteコンテンツのつく
携帯サイト[xhtml]のコーディング前のチェックポイント │ これからゆっくり考L +α
前回のhtml版に引き続き、今回はxhtmlの場合です。 htmlと比べて出来ることが増えるので色々なデザインの再現が可能ですが、やはり3キャリア1ソースとなると気をつけるべきポイントがいくつかあります。 コーダー(もしくはディレクター?)さんは、デザインをパッと見て「このデザインで組めます!」「組めません無理です...」の判断が咄嗟にできるようになると素敵だと思います。 デザイナーさんは、これからあげるチェックポイントを頭の片隅にいれつつデザインしていただけると、コーダーからの戻しが少なくてすむようになるかと思います。 前置きはこのぐらいにして、早速本題へ。 以下が今回のサンプルデザインです。 「これをxhtml、3キャリ1ソースコーディングしてください」 と言われた場合で考えていきます。 前提条件は、 ・3キャリア1ソース ・xhtml ・文字コード:Shift-JIS ・改行コード:
「PCでは見えないはず」に頼ることの危険性
“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 無視できない“ケータイWeb”セキュリティ はじめまして。今回からこの連載を担当することになりました徳丸浩といいます。この連載では、携帯電話向けWebアプリケーション(以後「ケータイWeb」と表記します)のセキュリティについて解説します。ここでいう携帯電話とは、iモードやEZweb、Yahoo!ケータイなど、日本で従来、広く利用されているサービスを指します。一方、いわゆるフルブラウザやiPhone、Android端末などは含みません。 ケータイWebは、一般のPCなどから利用されるWebと比較して、使用技術の90%くらいは共通
携帯サイト(html)の制作に入る前に確認しておきたいチェック項目 │ これからゆっくり考L +α
「デザインは素敵なんだけど、携帯でこれはちょっとできないなー」とか、「無理ではないけどできれば避けておいた方がいいよなー」っていうデザインがあがってくることが多い今日この頃。 モバイルコーディングをやり慣れている人じゃないとモバイルでできることできないこと、cssを使わないと実現できないこと、table使わないと実現できないこと、などが分かりにくいと思うので当然だとは思うのですが。 ですが、知っているのと知らないのとでは工数がかなり違ってきます。 一旦デザインして、コーダーにそれを見せて「ココとココとココは実現不可能。やり直してください。」で差し戻され、デザインをやり直してってなると、デザインも2度手間、デザインをチェックして無理な項目を洗い出すコーダーにも余計な手間がかかります。 今回洗いだした項目は、なんせ自分がコーダーなので、コーダーがデザインファイルをもらった時にバーッと見てチェッ
「PHPで作る携帯サイト」ではどうやってセッション管理をすべきか - がるの健忘録
なんかご大層なタイトルにしてみましたが。 元ネタはこちらです。 携帯電話向けWebアプリのセッション管理はどうなっているか http://d.hatena.ne.jp/ockeghem/20090714/p1 ちなみに、会話対象になっているのは、この書籍 PHP×携帯サイト 実践アプリケーション集 作者: 株式会社マイネット・ジャパン,平島浩一郎,伊藤祐策,中元正也出版社/メーカー: ソフトバンククリエイティブ発売日: 2009/06/27メディア: 大型本購入: 5人 クリック: 155回この商品を含むブログ (10件) を見る 最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。 えと…正直、PHPのセッション関連の関
今だからこそ、「軽量なウェブサイト」を作ることが重要、というお話。 - Feel Like A Fallinstar
最近はJavaScriptのライブラリ整備や、大きなモニターが増えたせいもあり、リッチな見た目のサイトが増えてきたなーって思います。 でも、その一方で、それ以上に増えている様相なのが「低速度回線」のユーザ。 今だからこそ、技術をきちんと理解して軽いウェブサイトを作るべきなんじゃないか、というお話を少し。 増えているのは、フレッツよりも「持ち歩きPC」「スマートフォン」のアクセス これは今木が運営する、とあるポータルサイトの利用者の接続速度の変化のデータです。 月間PVが大体150,000位で、割と昔からあるタイプのまじめなコンテンツのサイト。携帯は対応していませんし、IT系とかに偏ったコンテンツもありません。 見ると分かる傾向は ダイヤルアップ、実はあまり減っていない ケーブルはそこまで延びていない Unknownが年々増えている ADSL / 光(T1)も割合としてはむしろ減少傾向 グラ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
