Flash プロの現場の仕事術 CS5/CS4/CS3対応
体系的に学ぶ 安全なWebアプリケーションの作り方
ケータイHTML ポケットリファレンス
携帯サイト年鑑2010
PHP×携帯サイト デベロッパーズバイブル
Linux-DB システム構築/運用入門
携帯サイトSEO&SEM向上テクニック
札幌のソーシャルゲーム開発なら
ケータイのダメダメなJavaScript実装について解説された記事「携帯電話事業者に学ぶ”XSS対策”」
Tweet
面白い記事を見かけたのでご紹介します。
ケータイのセキュリティに詳しい徳丸氏による、ケータイのJavaScript実装についてのブログエントリーです。
→ ockeghem(徳丸浩)の日記 携帯電話事業者に学ぶ「XSS対策」 [d.hatena.ne.jp]
XSS脆弱性のあるスクリプトを用意して、ドコモのiモードブラウザ2.0端末と、ソフトバンクのJavaScript対応でテストを行うという内容なのですが、なかなかダメダメな実装となっています。
詳しくは上記のリンク先を見ていただくとして概要だけ触れると、ドコモはalertやconfirmを殺しているので一見動作せず。
ソフトバンクも「<」「>」「”」をカットしている、しかしパーセントエンコードを使うと入力できてしまう、という状況のようです。
どちらも一見XSSが起きないように対策を取っているようで(ドコモの方はXSS対策したつもりではないのかもしれませんが)、まったく意味がないという状態です。
特にソフトバンクの対応はひどいですね。
当たり前のことですが、ケータイサイトを作成する際にもPCサイトと同じようにXSS対策はしっかり行おう、というそんなお話でした。
関連:
- 6月25日にモバイルWebセキュリティの無料セミナー「スマートフォン時代のモバイルWebセキュリティ対策の極意」が行われるとのことです
- FlashをHTML5・JavaScriptに変換して動かすSmokescreenというものがあるそうです
- Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」
7月 30th, 2010 at 12:11:08
スライド資料が公開されていました
http://d.hatena.ne.jp/ockeghem/20100730/p1