高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
【レポート】"かんたんログイン"のセキュリティ問題とは何なのか? - WASForum 2010 (2) 「かんたんログイン」の代替案 | ネット | マイコミジャーナル
かんたんログインがはらむプライバシー問題 高木浩光氏は、これまで自身のブログなどでかんたんログインに関する問題を報告している。今回はイー・モバイルの携帯WebであるEMnetを使ってインターネットに接続した結果を話した。EMnetのプロキシ経由で固有IDを書き換えて他社キャリアのIDを送信すると、IPアドレス制限はクリアでき、プロキシサーバでの書き換えも行われなかったという。 固有IDを使ったログイン認証の問題は、PCからアクセスできるとなりすましが可能になる点 EMnetのプロキシは、X-EM-UID:のヘッダで固有IDを付与する仕組みで、あらかじめUIDがあった場合、それを削除して正しいIDに書き換えて送信するが、他社のヘッダがあったとしても、それは書き換えない。他社の固有IDを削除しないこと自体は問題のある動作ではない、と高木氏。固有IDの送信に関する仕様が各社で統一されておらず、キ
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
