【レポート】"かんたんログイン"のセキュリティ問題とは何なのか? - WASForum 2010 (1) 「かんたんログイン」で指摘される問題性 | ネット | マイコミジャーナル
Webアプリのセキュリティを検討する「Webアプリケーションセキュリティフォーラム(WASForum)」が5月22日、認証と認可に関するイベントを開催した。その中で携帯電話の「かんたんログイン」のセキュリティに関して講演が行われた。 WASFは、もともとPCの一般的なインターネットのセキュリティを対象にしていたが、昨今のスマートフォンの流行などで携帯電話からも通常のインターネットが頻繁に利用されるようになったことから、今回のような考察が行われたという。 かんたんログインに関して講演をしたのは、HASHコンサルティングの徳丸浩氏と、産業技術総合研究所(産総研)の高木浩光氏。 パンドラの箱を開いたキャリア 携帯電話のWebサイト(携帯Web)で一般的に利用される「かんたんログイン」は、iモード(NTTドコモ)やEZweb(au)、Yahoo!ケータイ(ソフトバンクモバイル)で利用されているログ
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
OpenIDで携帯もPCもシームレスに、実証実験結果を報告 - @IT
2010/03/26 認証基盤連携フォーラム 実証実験ワーキンググループは3月26日、OpenIDを用い、携帯電話とPCをまたいだシームレスな認証や属性連携に関する実験、「認証基盤連携による認基盤間の相互運用性確保の実証」の結果を明らかにした。Artifact Bindingと呼ばれる手法を用いることで、携帯電話からも問題なくOpenIDに基づく認証を行えることが実証されたという。 OpenIDは、1つのIDで複数のインターネットサービスを利用できるようにするための仕様だ。いったん認証を済ませるだけで、ほかのサービスへのシングルサインオンが可能になるほか、ユーザーの承認に応じて氏名や住所、クレジットカード番号といった属性情報を受け渡し、利便性の高いサービスを受けられるようにする。ユーザーから見れば、サービスごとに個別に認証を行う手間を省けるうえ、自分の情報をどんな事業者に開示するかをコント
ID連携で異なるサービスを利用する可能性と課題――推進団体が報告
認証基盤の連携によるサービスの可能性と課題について、認証基盤連携フォーラムが実証実験の結果を報告した。 認証基盤連携フォーラムの実証実験ワーキンググループ(WG)は3月26日、このほど実施した「認証基盤連携による認証基盤間の相互運用性確保の実証」の実証実験の結果について報告した。 この実験は、総務省のICT先進事業国際展開プロジェクトの1つとして実施されたもの。電気通信事業者の異なる認証基盤の相互運用性を確保することで、ユーザーが複数のコンテンツやサービスを1つのIDで利用できることを目指している。 実験では、1人のユーザーがPCと携帯電話で異なるIDを利用しても容易に本人確認ができる方式や、OpenIDを携帯電話で利用する上での課題検証、必要とする情報の重要度に応じて認証手段を使い分ける方法といった、さまざまなテーマで実施された。 NTTドコモが主体となった実験では、まずPCサイトにログ
最新29機種ドコモ携帯、個人情報流出の恐れ : 社会 : YOMIURI ONLINE(読売新聞)
NTTドコモの携帯電話のうち、インターネット閲覧ソフト「iモードブラウザ2・0」を搭載した最新29機種を通じて、利用者の個人情報を不正取得される恐れのあることが、専門家の指摘で明らかになった。 同社は携帯サイトの運営者にパスワード認証などの安全対策を呼びかけている。携帯電話の機能が高機能化するにつれ、こうした危険は増しており、利用者も注意が必要になってきた。 該当機種は、昨年5月以降に発表されたプロシリーズやスタイルシリーズなど。iモードブラウザ2・0は、ジャバスクリプトと呼ばれる機能が組み込まれており、携帯用のインターネットサイトと自動で情報をやりとりできる。 悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることができる。その時、この会員サイトに利用者の住所など個人データが登録されていると、盗み出されてしま
携帯各キャリアの固有IDについて (全キャリア対応)
百式の人のまとめがえらい中途半端だったのに360ブクマも集めてて悔しかったので本気でまとめてみた。 ケータイのユーザーIDを取得する方法まとめ (IDEA*IDEA ~ 百式管理人のライフハックブログ ~) 携帯各キャリアの固有IDについて (全キャリア対応) 2009.03.25 コメントで指摘を頂いてEZ番号の書式について訂正いたしました。(10桁→14桁) 2010.05.20 EZ番号の再発行のポリシーに変更があったそうです 現在携帯関連の仕事を離れたため詳細を追いかけていません。 高木浩光@自宅の日記などを参照してください。 PDFはこちら: mobileid.pdf:携帯各キャリアの固有IDについて (全キャリア対応) 携帯4キャリア(DoCoMo, au, SoftBank, emobile)と、PHS(willcom)まで書いています。*1) このとおり、各キャリアは複数の
続・モバイル用の OpenID 考 - 日向夏特殊応援部隊
ちょうど今日、有志でモバイル用 OpenID について議論してきたので気分転換に。 モバイル用の OpenID 考 - Yet Another Hackadelic OpenID for mobile と言う題目で idcon #4 で話してきました - Yet Another Hackadelic の続きです。 ニーズの話 OP 側の視点がメインです。但し一方的に OP だけにシナジーがあっても使われる訳が無いので RP にもメリットがあるといいねという感じで考察してみます。 SSO システムとしての OpenID 前はニーズについては触れなかった。認証の簡略化という意味で端末IDは現実的に使われていて、仮に異なるサービス間だとしてもその端末IDさえ何らかの形で共有出来れば同一IDでのSSOは実現出来る。 それが自社内の異なるコンテンツならばまったく問題は無いけど、異なる会社の異なるサー
モバイル用の OpenID 考 - 日向夏特殊応援部隊
いつか書こうと思って書いてなかったので。ちなみにモバイルサイト開発は不得手と言うか余り経験が無いので、突っ込み歓迎です。 またモバイルの世界に OpenID なんて(ry ってのは今は考えない。 特徴 携帯電話の場合は個体識別番号って奴があって、それを無条件に垂れ流してるので一意な値と言うのは取れると。 Cookie のサポートはキャリアや機種ごとにまちまち。 許容する URL の最大長問題 (携帯電話のブラウザでアクセスできるURLの文字数に制限はありま… - 人力検索はてな、正確な情報かどうか未確認だけど参考数値として) Cookie と個体識別番号 RP サイドで、アサーションのレスポンスに対する中間者攻撃を防ぐ為に Cookie を事前に発行しておくなんていう対策を採る訳ですが、これは別にリクエスト時の個体識別番号と一致してれば良いので、モバイルでの場合に例外的な扱いはするものの技
OpenID for mobile と言う題目で idcon #4 で話してきました - 日向夏特殊応援部隊
昨日ですが、idcon #4 にて日本のモバイルで OpenID が出来るかどうかと言う話をしてきました。 スライドの方はこちらにて。 OpenID for Mobile (jp) 補足 その後の議論で id_res などの Indirect Communication のレスポンスも POST で行けるんで、ここを form submit にしてしまえば、現状の枠組みでも行けるよねと言う話になった。 ただ、ユーザビリティ的に無いわーって感じ。 他の方のプレゼン =hiroki さんの「People Service」 これは個人的には非常に面白く聞けました。 Liberty は役割を明確に分けていて、その役割ごとに特定のユーザーに対する仮名(かめい)が割り当てられてる。 仮に IdP にアカウントが無いシナリオで進んだとしても、ちゃんとフォローできる仕組みになってて面白かったなぁ。 =hi
♪8th Note♪: 空メールでユーザ登録
大変ご無沙汰です。約1年半ぶりの更新です。 昨日、ブログを設置しているサーバでOSのアップデートに問題が発生したため、これを機に新サーバ・新OSに乗り換えることにしました。 現在のブログがマルチサイトのため、そのままでは新サーバの構築に苦戦すると予想されるため、他のブログの記事を統合しました。 統合内容は以下の通りです。 ・C-Production ・・・ メインサイトのため、他のブログを吸収して継続。 ・♪8thNote♪ ・・・ メインサイトに統合済みだったので、削除。 ・モバイル魂 ・・・ メインサイトに記事を引き継ぎ、並行稼働中。 ・無線のドキュメント ・・・ もともと閉鎖予定だったので、そのまま削除 外部SNSのアカウントについてはそのまま継続します。 今後ともよろしくお願いします。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Mobile Openid
サービス終了のお知らせ