Googleがガラケーの「かんたんログイン」による認証を停止するようです

2012/3/19 月曜日 Posted in ニュース | 1 Comment »

ニュースです。 2012年5月1日をもって、Googleがガラケーの「かんたんログイン」による認証を停止し、Cookieを利用したログインに切り替えるようです。 情報元はこちらです。 → Google Apps ヘルプ 認証 Cookie 非対応のモバイル ブラウザのサポートの終了 [support.google.com]   これにより、一部の端末ではGoogleへのログインができなくなります。 世の中の多くのスマートフォン・ガラケーは、既にCookieに対応していますので、ここで対象となるのはドコモの「iモード1.0端末」です。 具体的には、主に90xシリーズや70xシリーズが該当しますが、例外がありますので、詳しくはこちらのスペック表から確認すると良いと思います。 (一番左のiモードブラウザバージョンの列です) → NTTdocomo 端末スペック一覧 iモード対応機種 対応コンテンツ・機能一覧 [nttdocomo.co.jp]   かんたんログインの危険性と、それに付随する実装の厄介さは、以前から問題になっていましたので、天下のGoogleがかんたんログインを廃止することで、一気に利用の停止が進むのではないでしょうか。   関連: auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです(続きの続き) auの今後のサーバ仕様変更に伴うセキュリティについて言及した記事「EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点」 IPAが公開している「安全なウェブサイトの作り方 改訂第5版」に、携帯サイト開発上の注意点が追加されたようです Read more..

auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです(続きの続き)

2011/11/30 水曜日 Posted in au, タレコミ, ニュース, 記事紹介・リンク | No Comments »

続報が来ましたので、記事にしたいと思います。 前回の記事はこちら、前々回の記事はこちらです。   前回までのおさらい。 KimuraMemoさんの記事からの情報によると、auの2011年秋冬モデルである「F001」のPCサイトビューアーからアクセスした場合、接続元IPアドレス帯域がEZfactoryのページにある情報と違い、何かおかしい気がする。   結論からいうと、KDDIの新GWで「かんたんログイン」のなりすましの問題が発覚し、その対処のためあえて異なるIPアドレス帯域を使っていたようです。 一時期は危険な状態にありましたが、現在は問題が解決しているとのことです。 このあたりの経緯は徳丸氏の書いた記事に詳しくまとめられています。   → 徳丸浩 KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された [blog.tokumaru.org]   F001発売後まもなくの時点で、ひそかに徳丸氏の元に脆弱性の相談がありKDDIに連絡、その後翌日すぐに対処が行われたとのことです。   EZfactoryのサイトにも修正情報が掲載されています。 (フォーラムからも情報提供いただきました。ありがとうございます。) → KDDI au EZfactory 技術情報 IPアドレス帯域 [au.kddi.com]   削除 「※2011年秋冬モデル以降の一部機種ではPCSVとEZブラウザのIPアドレス帯域は統合されますが、 例えば、ユーザーエージェントを組み合わせることでブラウザを判別することができます。」 削除 「※2011年秋冬モデル以降の一部機種では、EZブラウザ、PCサイトビューアーのIPアドレス帯域が統一されます。」 追加情報として、「2011年秋冬モデル以降の一部機種のEZサーバ」という新たな帯域情報が掲載されています。 結果としては帯域が増えたくらいで、以前に近い形に落ち着きましたね。   「元を正せばかんたんログイン自体が悪い」という意見には賛成のため、本質ではないかもしれませんが、KDDIの今回予定されていたEZサーバとPCSVサーバのIPアドレス帯域の統合という作業は、本当にやるべきだったのか疑問に感じます。 (結局元の形に戻ってしまっていますし) 端末のPCサイトビューアーの出来に依存してしまうため、危険なかんたんログインが今回のように更に危うい形になってしまうと思います。   私自身、このようなサイトを運営していながら、すっかりガラケーの仕事からは離れてしまっているので、ここ最近の現場はわからないですが、技術者の多くが、問題のあるかんたんログインは実装したくないというのが本音になってきていると思います。 なぜなら単純で簡単なクッキー実装に比べて、あまりにリスキーで難易度が高いためです。   ただ、そこでキモとなるのは、クッキー非対応端末、具体的にはiモード1.0端末のシェアです。 この夏に出たL-10Cなど、iモード1.0端末は最近発売された機種の中にもまだ存在します。 久しぶりに調べてみましたが、2011年10月時点で、「ドコモの約45.1%、全体の約24.7%がクッキー非対応端末」でした。 → 参考: モバイルユーザー傾向DATABOX(2011年10月) [web-tan.forum.impressrd.jp]   算出方法は、前回の調査と同様です。 端末ごとのシェアが不明のため、そこがアバウトなのと、ウェブをアクティブに使う層は、新しい端末を使う傾向があるので、実際のクッキー非対応端末のシェアはもう少し低いと思われます。あくまで参考程度にお使いください。 ・2010年10月時点で、ドコモ内の70.6%がクッキー非対応、全キャリアで40.2%がクッキー非対応 ・2011年2月時点で、ドコモ内の53.7%がクッキー非対応、全キャリアで29.8%がクッキー非対応 でしたので、過去に比べて順調に下がってはきています。 ただ、この数値を多いとみるか少ないとみるかは、多くの場合が顧客(=システム開発の発注元)の意向次第というところがあるでしょう。   私としてはクッキー非対応端末のシェアは確実に減りつつありますので、もう危なっかしいかんたんログインを新規で制作する必要はないと思います。 また既存のシステムでも、クッキー対応端末を判別して分けるなどで、かんたんログインのリスクを下げる形に徐々に移行していくとよいかもしれません。   関連: auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです(続き) auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです auのIPアドレス帯域が追加され、EZブラウザとPCサイトビューアーとが共通の帯域となるようです Read more..

かんたんログインのセキュリティについて解説した記事「間違いだらけの『かんたんログイン』実装法」

2011/3/8 火曜日 Posted in au, DoCoMo, SoftBank, 記事紹介・リンク | No Comments »

@ITにケータイの契約者固有IDを使った認証、いわゆる「かんたんログイン」のセキュリティに関する記事がありましたのでご紹介します。   → @IT 再考ケータイWebのセキュリティ 第2回 間違いだらけの「かんたんログイン」実装法 [atmarkit.co.jp]   著者は、ケータイセキュリティの第一人者である徳丸浩氏です。 「A社が提供する『グダグダSNS』という架空のSNSサイト」を例にとり、わかりやすく事例が紹介されています。   かんたんログイン機能を使って実装されているサイトをお持ちの方は、必ず一度目を通すべき記事だと思います。 最後のページに、かんたんログインを安全に実装するための「必要条件」が書かれていますが、やはりクッキーを使ったPCと同じような形の認証方式に切り替えていくのがよいとのことです。   なお、徳丸氏は「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践」という本を執筆されたようです。 その中には今回のようなかんたんログインの話題や、ケータイのセッションのセキュリティについての情報も書かれているとのことですので、近いうちに目を通してまたレビューの形でご紹介させていただきたいと思います。   → amazon 体系的に学ぶ 安全なWebアプリケーションの作り方 [amazon.co.jp]   関連: ドコモのクッキー対応端末(iモードブラウザ2.0)のシェアは現状どれくらいなのかを調べてみました ヤマト運輸ケータイサイトに脆弱性があった問題の続報 ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです Read more..

ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです

2010/10/25 月曜日 Posted in ニュース, 記事紹介・リンク | No Comments »

ニュースです。 ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようで、ケータイ界隈のニュースサイトやブログで話題になっています。   時系列的には、YOMIURI ONLINEが最初に記事を掲載したようです。 → YOMIURI ONLINE(読売新聞) iPhoneで人の情報丸見え…閲覧ソフト原因 [yomiuri.co.jp]   その後、多くのニュースソースで取り上げられたようです。 内容的にはこちらの記事が的確でわかりやすいと思います。 → ITmedia News クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性 [itmedia.co.jp]   クロネコヤマト本家サイトの謝罪文はこちらです。 → ヤマト運輸 携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について [kuronekoyamato.co.jp]   どうも情報をまとめると、端末IDによるかんたんログイン機能を利用していたのに、IPアドレスによる制限をかけていなかった(もしくはiPhoneのIPアドレスは許可していた)というように読めます。 一番上のYOMIURI ONLINEの記事だと、一見iPhoneのアプリ「SBrowser」が悪いようにも読めるので、あまり正確ではないように感じますね。   ヤマト運輸側の対応がすばらしかったとの意見も出ています。 → [Z]ZAPAブロ~グ2.0 ヤマト運輸の対応が素晴らしかった [zapanet.info]   また、脆弱性を見つけた本人のブログエントリーも公開されています。 → Moba Photo Life!!: YOMIURI ONLINEに掲載された「iPhoneで人の情報丸見え」記事について、当事者から。   twitterやはてぶでは、いろんな情報が流れていますが、憶測の域を出ないものも多いので、このあたりにしておこうと思います。 本件は、最初の通報の時点から高木先生が絡んでいるようなので、おそらく近いうちに日記にまとめてくれることと思います。 また正確な情報が出てきましたら、記事にしたいと思います。   関連: マイコミジャーナルにもかんたんログインのセキュリティ問題の記事が掲載されています Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」 ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 Read more..

マイコミジャーナルにもかんたんログインのセキュリティ問題の記事が掲載されています

2010/6/7 月曜日 Posted in ニュース, 記事紹介・リンク | No Comments »

先月の5/22に開催の「WASForum 2010」内で発表された、徳丸氏・高木氏のかんたんログインに関するセキュリティ問題ですが、マイコミジャーナルでも取り上げられていたのでご紹介いたします。   → マイコミジャーナル "かんたんログイン"のセキュリティ問題とは何なのか? - WASForum 2010 [journal.mycom.co.jp]   今までこれらの発表が紹介されたのは、個人のブログだったり技術系サイトだったりしたのですが、マイコミジャーナルのようなメジャーなサイトでも取り上げられたのは、この問題の重大さを表しているのでしょうか。。。 記事内の画像を見ると、発表中のスライド画面を撮ったもののようですので、ちゃんと会場で取材して書かれた記事のようですね。   さすがプロが書いただけあって、内容も読みやすくまとまっていますので、目を通してみてはいかがでしょうか。   関連: 「WASForum Conference 2010」のケータイ関連発表をまとめた記事がありました Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」 Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題があるとのことです Read more..

« Previous Entries