セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
iモード専用サイトのhtmlソースの閲覧方法 « mpw.jp管理人のBlog
iモードブラウザ2.0のJavaScriptを調査・研究する過程で、iモード専用サイトのhtmlソースを閲覧する方法を発見しました。 今回発見した方法を用いれば、「ドコモ・ゲートウェイ以外からのアクセスを禁止している」、「サーチエンジンのクロールを禁止している」、「XSS脆弱性が存在しない」の三つの条件を満たしているiモード専用サイトでも、htmlソースを閲覧することができます。 しかし、htmlソースを閲覧するためには、そのiモード専用サイトが別の二つの条件を満たしている必要があります。 htmlソースが閲覧可能なiモード専用サイトの条件 デフォルトホストで運用されている。(ヴァーチャルホストではない) iモードブラウザ2.0のJavaScriptからのアクセスを禁止していない。 iモード専用サイトのhtmlソースの閲覧方法 iモードブラウザ2.0のJavaScriptで、htmlソース
iPhoneで撮影した写真の危険性と対策のまとめ | MY IPHONE . JP
こんにちは、kimsonです。 なにげなく撮影した写真から個人情報が流出してしまう可能性があるということをご存じですか? iPhoneで撮影した写真にはジオタグというものが自動で付加かれてます。(位置情報サービスをオンにしている場合。) ジオタグには撮影場所の緯度経度が記録されていて、写真をそのままブログなどに上げてしまうと簡単に位置がばれてしまいます。 解析するツールは結構あってまずJpegAnalyzer Plusこのツール このツールでiPhoneで撮影したおいしそうなステーキの写真を読み込むと・・・ jpeganalyzer 赤線で囲まれた部分に緯度経度の情報が書かれています。(画像をクリックすると大きい画像が見れて見やすいです。) 次のツールはfirefoxのExif Viewerというアドオンです。 このアドオンは機能が充実していて読み込んだ写真のジオタグから地図を
C-Production – UNIXとプログラミングの備忘録
大変ご無沙汰です。約1年半ぶりの更新です。 昨日、ブログを設置しているサーバでOSのアップデートに問題が発生したため、これを機に新サーバ・新OSに乗り換えることにしました。 現在のブログがマルチサイトのため、そのままでは新サーバの構築に苦戦すると予想されるため、他のブログの記事を統合しました。 統合内容は以下の通りです。 ・C-Production ・・・ メインサイトのため、他のブログを吸収して継続。 ・♪8thNote♪ ・・・ メインサイトに統合済みだったので、削除。 ・モバイル魂 ・・・ メインサイトに記事を引き継ぎ、並行稼働中。 ・無線のドキュメント ・・・ もともと閉鎖予定だったので、そのまま削除 外部SNSのアカウントについてはそのまま継続します。 今後ともよろしくお願いします。
ケータイを振って本人認証、KDDI研が開発
KDDI研究所は、腕を振る動作を加速度センサーで検知し、登録したパターンと比較する動作認識技術を開発し、加速度センサー搭載型の携帯電話を使って本人認証する「腕振り認証システム」を実現した。 今回発表された動作認識技術は、同研究所と東京工業大学の羽鳥好律研究室が開発したもの。発表によれば、腕を振る際には、腕の長さや筋肉の付き方による特徴のほか、握り方や癖など、本人だけの特徴が反映される。検証の結果、腕を振る動作は、本人であれば再現しやすい一方、パターンを他人に見られたとしても再現されにくい特徴という。 「腕振り認証システム」は、腕を振るというシンプルな動作で認証を行うもの。指紋や顔写真はコピーされると再利用できないが、腕振り動作が他人にコピーされたとしても、新たなパターンを再登録すれば良いという点もメリットの1つとなっている。時間とともに変化するという点については、最新の動作パターンを反映さ
不正契約なぜ多い? ソフトバンク携帯、汚名返上に挑む - ITmedia +D モバイル
ニュース 不正契約なぜ多い? ソフトバンク携帯、汚名返上に挑む ソフトバンクの携帯電話が犯罪者の標的になっており、振り込め詐欺に使用された携帯でもソフトバンクが断トツに多い。不正利用の“撲滅”に向け、犯罪者に立ち向かうソフトバンクの取り組みを追った。 不正契約防止対策の強化をうたうポスター ソフトバンクの携帯電話が犯罪者の標的になっている。ネットでの転売などを目的とした不正契約が後を絶たないうえ、警察当局の調査によると、振り込め詐欺に使用された携帯でもソフトバンクが断トツに多い。業界では「本人確認などで脇が甘い」との声も聞かれる。不正利用の“撲滅”に向け、犯罪者に立ち向かうソフトバンクの取り組みを追った。 振り込め詐欺の7割 「振り込め詐欺に悪用された携帯電話の7割がソフトバンク製」 携帯事業への参入から2年半余りが経過し、契約者の純増数で初の年間首位がほぼ確定した昨年12月上旬。こんな見
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
