ソフトバンクSSLの脆弱性解消に関する記事が公開されています

2011/7/4 月曜日 Posted in SoftBank, 記事紹介・リンク | No Comments »

先日2011年6月30日にソフトバンクSSLの大きな仕様変更がありました。 以前のゲートウェイ型のSSLには大きな脆弱性があったようで、日本におけるセキュリティの大御所である、高木浩光氏と徳丸浩氏のお二人が早速記事にしています。   → 高木浩光@自宅の日記 SoftBankガラケーの致命的な脆弱性がようやく解消 [takagi-hiromitsu.jp] → 徳丸浩の日記 ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る [blog.tokumaru.org]   ソフトバンクのSSLは、UIDを付与するためや、ウェブコード形式の絵文字を変換するために、ドメイン「secure.softbank.ne.jp」経由でアクセスする形になっていました。 しかしながらガラケーでもJavaScriptに対応する端末が出てきたため、同一ドメインとしてコンテンツにアクセスできてしまうというケースが出てきてしまったようです。 詳しくは上記の記事に図解入りで詳しく解説されていますので、そちらをご覧下さい。   今回のソフトバンクSSLの仕様変更では、対応を忘れているサイトなどもあったようで、Twitterなどでは悲鳴が一部悲鳴があがっていたりしました。 アナウンスはまめにチェックするようにしたいところですね。   関連: 今月末のSSL仕様変更対応に使えるソフトバンクのウェブコード形式の絵文字をUnicode形式に変換するためのPHPデータ ソフトバンクのSSL仕様変更が今月末(2011年6月30日)に迫っています ソフトバンクの絵文字情報ページから、ウェブコードの表記が消えたようです Read more..

auの今後のサーバ仕様変更に伴うセキュリティについて言及した記事「EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点」

2011/6/15 水曜日 Posted in au, 記事紹介・リンク | No Comments »

auの今後のサーバ仕様変更に伴うセキュリティについて言及した「EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点」というエントリーがありましたので、ご紹介させていただきます。 著者は、Webアプリのセキュリティ、特にモバイル関係のセキュリティ情報に強く、これまで何度も当ブログでも取上げさせていただいている徳丸氏です。   → ockeghem(徳丸浩)の日記 EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点 [d.hatena.ne.jp]   以前「こちら」や「こちら」の記事でも少し触れましたが、ざっくり書くとauの2011年秋冬モデルからは次の変更が行われるとのことです。 EZブラウザとPCSV(PCサイトビューアー)のIPアドレスが統一される Cookieの保存仕様の変更(ゲートウェイではなく常に端末に保存される、有効期限などの変更) ※セキュリティとはあまり関係ないかもしれませんが、あわせてHDML対応も廃止になります。   これらの変更に伴うセキュリティ上の懸念点が解説されています。特にかんたんログインは大きな影響を受けそうな感じです。   上記の記事を受けて、ネット上でも色々と議論がおきたり、関連するエントリーなどが出ているようです。 → [ bROOM.LOG ! ] auのEZWebがそろそろ終了しそうな件 [blog.rocaz.net]   とりあえずは、秋冬モデルのPCサイトビューアーのJavaScriptの実装仕様が、どのような形となっているかが最大の焦点になると思いますが。。。 さすがに大丈夫ですよね?KDDIさん   関連: @ITに掲載されているセキュリティに関する記事「実は厄介、ケータイWebのセッション管理」 ブックレビュー:体系的に学ぶ 安全なWebアプリケーションの作り方 ケータイの端末ID・ユーザIDの取得についてまとめてみました Read more..

@ITに掲載されているセキュリティに関する記事「実は厄介、ケータイWebのセッション管理」

2011/5/26 木曜日 Posted in 記事紹介・リンク | No Comments »

@ITで連載されている連載「再考ケータイWebのセキュリティ」の第3回として、「実は厄介、ケータイWebのセッション管理」という記事が掲載されていましたのでご紹介させていただきます。   → @IT 再考ケータイWebのセキュリティ 第3回 実は厄介、ケータイWebのセッション管理 [atmarkit.co.jp]   第1回、第2回ともに良記事でしたが、今回のセッション管理に関する記事も大変参考になります。 ケータイサイト開発を行っている方であれば、必ずチェックした方がよい内容となっていると思いますので、目を通してみてはいかがでしょうか。   関連: かんたんログインのセキュリティについて解説した記事「間違いだらけの『かんたんログイン』実装法」 @ITで開始されたセキュリティに関する連載記事「再考・ケータイWebのセキュリティ」 ブックレビュー:体系的に学ぶ 安全なWebアプリケーションの作り方 Read more..

IPAが公開している「安全なウェブサイトの作り方 改訂第5版」に、携帯サイト開発上の注意点が追加されたようです

2011/4/12 火曜日 Posted in 記事紹介・リンク | No Comments »

最近はイベントのお知らせ等の更新ばかりだったので、たまには真面目にケータイネタをご紹介したいと思います。   IPAが公開しているウェブサイトの開発者・運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方」の改訂第5版に、携帯サイト開発上の注意点が追加されたようです。   → IPA 情報処理推進機構:プレス発表:記事:「安全なウェブサイトの作り方 改訂第5版」を公開 [www.ipa.go.jp] → IPA 情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方 [www.ipa.go.jp]   章2.7に、「携帯ウェブ向けのサイトにおける注意点」という項目が足されており、セッション管理やXSSに関する注意点、携帯ID(いわゆるかんたんログイン)や認証情報に関する注意点が、計7ページにわたってまとめられています。 PDF形式で無料公開されている資料ですので、手軽に読むことができます。 携帯サイト開発に関わる方はチェックしてみてはいかがでしょうか。   関連: ブックレビュー:体系的に学ぶ 安全なWebアプリケーションの作り方 かんたんログインのセキュリティについて解説した記事「間違いだらけの『かんたんログイン』実装法」 ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです Read more..

ブックレビュー:体系的に学ぶ 安全なWebアプリケーションの作り方

2011/3/23 水曜日 Posted in ブックレビュー | 1 Comment »

著者である徳丸氏からご献本戴きました。 ありがとうございます。 476ページもあり、かつ内容もかなり濃いという大変読み応えのある本で、戴いてから少し時間がかかってしまいましたが、レビューを書かせて頂きたいと思います。   → amazon 体系的に学ぶ 安全なWebアプリケーションの作り方 [amazon.co.jp]   本書はかなり人気のようで、Amazonでは発売後まもなく完売となってしまいました。 (こちらのブログエントリーによると増刷が決まっているとのことですので、しばらく待つと入荷されるのではないかと思います) なお、下記のサイトではまだ購入できるようです。 また本屋によっては在庫が残っているところもあるようですので、探してみてはいかがでしょうか。 → 丸善&ジュンク堂 [junkudo.co.jp] → 紀伊國屋書店BookWeb [bookweb.kinokuniya.co.jp] → オンライン書店ビーケーワン [www.bk1.jp]   著者は、HASHコンサルティング株式会社の徳丸浩氏で、Webアプリケーションのセキュリティ、特にかんたんログインの脆弱性など、ケータイのセキュリティに関する多くの発表を行っているため、当サイトでも過去に何度もブログや発表されたセキュリティ情報を、紹介記事として取り上げさせていただいたことがあります。   さて内容についてですが、章立ては次のようになっています。 1章 Webアプリケーションの脆弱性とは 2章 実習環境のセットアップ 3章 Webセキュリティの基礎 ~HTTP、セッション管理、同一生成元ポリシー 4章 Webアプリケーションの機能別に見るセキュリティバグ 5章 代表的なセキュリティ機能 6章 文字コードとセキュリティ 7章 携帯電話向けWebアプリケーションの脆弱性対策 8章 Webサイトの安全性を高めるために 9章 安全なWebアプリケーションのための開発マネジメント   出版社のサイトに、更に詳細な目次があります。 → ソフトバンク クリエイティブ 体系的に学ぶ 安全なWebアプリケーションの作り方 [sbcr.jp]   全9章からなる構成となっており、上記サイトを見て貰えるとわかるのですが、かなり濃密な内容になっています。 (なんと書籍上では、目次だけで14ページもあります) まさにこれ一冊でWebアプリのセキュリティについて網羅されている感じです。 また例として扱っている言語も、PHPをはじめとして、PerlやJava、VB.NETなど多岐にわたっています。 (中でも例が多く、一番詳しく扱われているのはPHPのようです)   一つ大きな特徴としては、脆弱性のサンプルを格納したVMWarePlayer用のCD-ROMが付属している点です。 ここ最近CD-ROM付きの書籍はすっかり減ってしまったので珍しいですね。 こういう形で脆弱性のサンプルを動かして学ぶことができるというのは、面白い試みだと思います。 これによって、読者が実際に脆弱性とその危険性を認識し、動作原理も理解しやすくなっていると思います。   各章の基本的な流れとしては、脆弱性の説明とそれが起きるケースの例をあげ、その対策法を解説していくという形になっているようです。 脆弱性とは何か、あると何故まずいのかといったところから、HTTPプロトコルの解説、攻撃の種類といった基本的なところから始まり、XSSやSQLインジェクション、CSRF、セッションハイジャックなどなどの各種具体的な手法まで、幅広いだけではなく、それぞれかなり濃密な解説がなされています。 これだけ網羅性が高く、かつ丁寧に書かれた書籍は、なかなか珍しいと思います。   加えて我々ケータイ開発者にとって嬉しいのは、「携帯電話向けWebアプリケーションの脆弱性対策」という形で、ひとつ専用の章が用意されていることです。 ここではキャリアのゲートウェイを通じてアクセスが行われるというケータイならではの特徴や各端末の技術仕様について、機種によってはクッキーが使えない点、またセキュリティの面から大きな話題を呼んだ「かんたんログイン」についてなどの解説が行われています。 この辺りはさすがケータイのセキュリティに強い徳丸氏の得意とするところということもあり、従来の書籍では触れられていないようなところまで、しっかりと解説されています。   Webアプリのセキュリティの基礎部分から高度なところまでカバーし且つ内容の濃い、非常に完成度の高い内容になっていると思います。 Webアプリケーションを開発している技術者の方には、ぜひ読んでおいて欲しい一冊です。   関連: ブックレビュー:WEB+DB PRESS vol.61(2011年2月発売号 特集:実践!Titanium JavaScriptでiPhone&Android本格アプリ開発) ブックレビュー:SoftwareDesign 2011年3月号 (特集:はじめよう!Androidアプリ開発) ブックレビュー:PHP×携帯サイト実践プログラミング Read more..

« Previous Entries