Archive for 8月, 2009

目的別インデックスページを更新しました(&過去のオススメ記事×10件)

2009/8/6 木曜日 Posted in お知らせ | No Comments »

お知らせです。最近更新をあまり追いついていなかった「目的別インデックス」ページを、久しぶりに更新してみました。   → ke-tai.org 目的別インデックス [ke-tai.org]   目的別インデックスページは、過去掲載した記事を目的別に探しやすくしようと思い作成したページです。 ケータイサイトを構築する上で、困ったことがあった場合や探しものをしたい場合などにまず見ていただければと思います。 せっかくですので、オススメの記事を10件ほどピックアップしたいと思います。   ケータイサイトをはじめて作る方向け: ・ケータイ開発の概要を掴むための記事 → 携帯サイト初心者の方に向けたセミナー資料「ケータイサイトのはなし(入門編)」 ・開発に便利なソフトの紹介 → Firefoxでモバイル端末をシミュレートするアドオン「FireMobileSimulator」   ケータイサイトのデザインやHTMLコーディングについて知りたい方向け: ・最初は誰もがとまどうドコモ端末でのCSS利用方法 → ドコモ端末でCSSを利用するには ・回り込みの各キャリア間での違い → ケータイでの画像回り込みについてまとめてみました ・デザインの参考に → ケータイサイトのデザインをジャンル別にまとめて紹介している「モバイルデザインアーカイブ」   端末ID、ユーザIDの取得について勉強したい方向け: ・端末ID、ユーザIDの取得についてのまとめ記事 → ケータイの端末ID・ユーザIDの取得についてまとめてみました → ケータイの端末ID・ユーザIDの取得についてまとめてみました(サンプルプログラム編) ・かんたんログインのサンプル 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました   その他: ・ケータイからGoogleMapを使う → Google Static Map APIが随分変わっていたので調べ直してみました ・ケータイサイトを使う上で問題となりやすいセッションについて → PHPでケータイからセッションを使う場合の設定方法   関連: 2009年7月の人気エントリーまとめ 2009年6月の人気エントリーまとめ 2009年5月の人気エントリーまとめ Read more..

JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」

2009/8/5 水曜日 Posted in 記事紹介・リンク | 4 Comments »

昨日に続きセキュリティ関連の話題です。 下記のブログ記事が大変面白く、参考になる良エントリーでしたのでご紹介させていただきます。   → 徳丸浩の日記 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 [www.tokumaru.org]   今年の5月にドコモから発売されたJavaScript対応端末ですが、販売開始後すぐにソフトウェアアップデートによりJavaScript機能が停止されてしまいました。 上記エントリーでは、この停止の原因となった脆弱性について仮説を立てて検証しています。   詳しい内容は上記ブログを読んでいただくとして、概要としては、XMLHttpRequestのsetRequestHeaderメソッドとXSS脆弱性とを組み合わせて、ユーザエージェントやiモードIDなどのリクエストヘッダを改ざんし、かんたんログインのなりすましを行うことができたのではないか、というものとなっています。   iモードIDは、ドコモサーバ側で付与されるヘッダ情報「X-DCMGUID」から取得します。 通常この情報はケータイ上からは改ざんできませんし、もし万が一改ざんできたとしてもドコモのサーバ側で上書きされるはずです。(現状改ざんできないので実際に試したわけではないですが) もちろんPCからのアクセスであれば、容易にIDを騙ることができますが、通常ケータイサイトでは、Firewallや.htaccessなどによるIPアドレス帯域による制限を行うため、ケータイ以外からはアクセスできません。 しかしながら、ドコモ以外のキャリアを名乗ることによって、サーバ側で上書きされないX-UP-SUBNOやX-JPHONE-UIDを変更し、かんたんログインを突破できたのではないか、という仮説となっています。 ドコモからは、販売停止やJavaScript機能の停止の理由は公表されていないため、あくまで仮説ではあるものの、かなり興味深い内容ですね。   他にもソフトバンクに関しては、昨日ご紹介した記事「SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ [d.hatena.ne.jp]」で示されたような、かんたんログイン機能への脅威についても言及しています。   よく「かんたんログインは使うな」「かんたんログインの利用を推奨するような記事を書くな」というご意見をいただくことがあります。 もちろんごもっともな意見ではあるのですが、セキュリティと利便性は裏表な部分もあり、キャリアが代替手段を出すまでは、サイトの内容やクライアントの意向によっては導入せざるを得ない場合も多々あると思います。 我々に出来ることは、できる限り正しい情報を把握し、より安全に使える保険を一つ一つ積み重ねていくことが大事なのではないかと思っています。   セキュリティに関する記事の場合は特に、はてなブックマーク上からの突っ込みコメントが多くなる傾向があります。 ご指摘いただいた内容に関しては、可能な限り再チェックし、記事に不適切な部分があるのであれば修正していきたいと思っています。 突っ込みをいただく場合は、出来ればはてなブックマークからのコメントだけではなく、コメント欄やフォーラムもご利用いただけると、内容の確認が行いやすく助かります。 ぜひご協力をお願いいたします。   関連: ソフトバンクの携帯用GatewayをPCで通る方法があるようです 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました ケータイの認証用IDの現状をまとめたブログ記事「携帯各キャリアの固有IDについて (全キャリア対応)」 Read more..

ソフトバンクの携帯用GatewayをPCで通る方法があるようです

2009/8/4 火曜日 Posted in タレコミ, 記事紹介・リンク | 4 Comments »

mogyaさんからのタレコミです。 (情報提供ありがとうございます) ソフトバンクの携帯用ゲートウェイを、PC経由で通る方法があるとのことです。 扱う情報にもよりますが、ケータイサイトではIPアドレス帯域を制限して、ケータイからのアクセスのみを許可するのが一般的です。 これが可能なのであれば色々と問題がありますね。   → Perlとかmemoとか日記とか。 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ [d.hatena.ne.jp]   ソフトバンクのゲートウェイをPCから通過する方法としては次の2つが挙げられています。 SIMUnlock済みのiPhoneを使う方法 ソフトバンクのケータイをUSB接続しダイアルアップする方法   1の方法はまあ良いとしても、2の方法はごく単純な方法ですね。 なぜ対策が取られていないのでしょうか?   これらの方法をつかえば、例えばケータイからのみしかアクセスできないサイトにアクセスし、HTMLソースを見てデザインの参考にする、といったことが可能になります。 悪用方法としては、待ち受け画像などにアクセスしてPC上から保存してしまう(これが可能かどうかはプログラム側の作りにもよりますが)、他人の端末ID(製造番号)を騙ってログインしてしまう、などが考えられます。   ただ、契約ユーザID(x-jphone-uid)のヘッダ情報はネットワーク側で付与されるので、こちらは偽装が不可能とのことです。 (※実際に検証したわけではありません。もし試した方がいましたら結果を教えてください。) ※追記 フォーラムから次のような報告がありました 試してみたのですが、実際にSBのIPでパソコンから接続することが出来ました。 FireMobileSimulatorで指定してみたのですが、偽装出来ませんでした。 機種変を行っても変わらないなどのメリットもあることから、多くのサービスが契約ユーザIDを利用していると思いますが、もし端末ID(製造番号)で認証を行っているという方は注意が必要だと思われます。   あとは他キャリアはどのような状況になっているのかも気になるところですね。 もし情報をお持ちの方がいましたら教えてください。   関連: 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました 2009年7月24日付けでソフトバンク(Yahoo!ケータイ)のIPアドレス帯域に変更があったようです ケータイの認証用IDの現状をまとめたブログ記事「携帯各キャリアの固有IDについて (全キャリア対応)」 Read more..

2009年7月の人気エントリーまとめ

2009/8/3 月曜日 Posted in お知らせ | No Comments »

月初め恒例の人気エントリーまとめです。 7月に1番人気のあったエントリーは「かんたんログインのサンプル」でした。 やはりサンプルものは評判が良いようですね。 また時間があるときにでも、別のものも公開してみようと思います。   1: 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました  2: 低価格なケータイ向けSSL証明書サービス「SSLモバイル」  3: ブックレビュー: Flash Liteで作る携帯コンテンツ実践教科書  4: ケータイ業界の動向がわかる資料 総務省の「モバイルコンテンツの産業構造実態に関する調査結果」  5: PC上でCDやUSBからAndroidをブートできる「Live Android」を試してみました    関連: 2009年6月の人気エントリーまとめ 2009年5月の人気エントリーまとめ 2009年4月の人気エントリーまとめ Read more..

Next Entries »