Flash プロの現場の仕事術 CS5/CS4/CS3対応
体系的に学ぶ 安全なWebアプリケーションの作り方
ケータイHTML ポケットリファレンス
携帯サイト年鑑2010
PHP×携帯サイト デベロッパーズバイブル
携帯サイト コーディング&デザイン
ケータイHTMLコンパクトリファレンス
札幌のソーシャルゲーム開発なら
ヤマト運輸ケータイサイトに脆弱性があった問題の続報
Tweet
昨日の記事の続きです。
ヤマト運輸のケータイサイトに「かんたんログイン」関連の脆弱性があった問題について、やはり高木先生が日記にまとめてくれたようです。
→ 高木浩光@自宅の日記 かんたんログイン方式で漏洩事故が発生 [takagi-hiromitsu.jp]
本件は、発見者がIPAよりも先に高木先生に相談したということもあり、実際のアプリを使った詳しい検証記事の形にまとめられています。
原因はやはりキャリアIPアドレスの制限が行われていなかったことのようですね。
IPアドレスによる制限がない場合は、ごく簡単にユーザIDの詐称が行われてしまうので、注意が必要です。
もちろん高木先生としては、IPアドレス制限による対策などではなく、かんたんログイン自体を捨て、cookieによるログイン制御を行うように進めています。
関連:
- ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです
- Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」
- ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」
最近の記事