タグ

なりすましとかんたんログインに関するtsupoのブックマーク (4)

  • セキュリティ情報 - Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題

    文書番号HASHC2010052401 Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 HASHコンサルティング株式会社 公開日:2010年5月24日 概要 昨年11月24日づけアドバイザリにて、iモードブラウザ2.0のJavaScriptにより、携帯端末に割り当てられたID(以下、端末固有ID)を利用した認証機能(以下、かんたんログイン)に対する不正アクセスが可能となる場合があることを報告した。その後の調査により、同種の問題がYahoo!ケータイのブラウザ(通信事業者はソフトバンクモバイル)でも発生することを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者およびYahoo!ケータイ利用者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザに用意された端末固有IDを利用した簡易的な認証であり、ユーザがIDやパスワード

    tsupo
    tsupo 2010/05/25
    危険度の高い攻撃手法であるので、サイト運営者およびYahoo!ケータイ利用者には至急の対策を推奨する
  • Utilz: 携帯識別

    User-Agent ユーザーが「携帯電話製造番号通知」確認画面でYESを選択すると、User-Agentに "ser***********" 形式で製造番号が付加されます。 DoCoMo/1.0/P503i/c10/ser*********** FOMA端末製造番号(DoCoMo FOMA) 携帯端末の製造番号です。同一ユーザーでも端末買い増しをしているユーザーがUIMカードを別端末に入れ替えることで異なる値になります。Movaと同様に毎回確認画面が表示されます。 取得方法 Movaと同じです。XHTMLの場合は以下のようにします。 User-Agent User-Agentに "serXXXXXXXXXXXXXXX" 形式で製造番号が付加されます。同時にFOMAカード製造番号も付加されます。 DoCoMo/2.0 P902i(c100;TB;W24H12;serXXXXXXXXXXX

    tsupo
    tsupo 2010/04/28
    「運営中サイトのログを確認していると、キャリアのドメインを騙った逆引き設定をしている不正なアクセスがまれに確認できます」
  • 高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想

    ■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は

    tsupo
    tsupo 2010/04/12
    「わかっている技術者は、まず、契約者固有IDの使用をやめることだ。もう始めてしまったところは、今すぐやめられてないにしても、今後やめられるように今から準備をしておくことだ」
  • 高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件

    はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ

    tsupo
    tsupo 2010/02/22
    「はてなならやりかねない」 / ポケットはてなは、はじめっからIPアドレス制限なんぞ、まったくしていなかった / 他に4か所のサイトで同様の事例が見つかった
  • 1