かんたんログインのセキュリティについて解説した記事「間違いだらけの『かんたんログイン』実装法」

2011/3/8 火曜日 Posted in au, DoCoMo, SoftBank, 記事紹介・リンク | No Comments »

@ITにケータイの契約者固有IDを使った認証、いわゆる「かんたんログイン」のセキュリティに関する記事がありましたのでご紹介します。   → @IT 再考ケータイWebのセキュリティ 第2回 間違いだらけの「かんたんログイン」実装法 [atmarkit.co.jp]   著者は、ケータイセキュリティの第一人者である徳丸浩氏です。 「A社が提供する『グダグダSNS』という架空のSNSサイト」を例にとり、わかりやすく事例が紹介されています。   かんたんログイン機能を使って実装されているサイトをお持ちの方は、必ず一度目を通すべき記事だと思います。 最後のページに、かんたんログインを安全に実装するための「必要条件」が書かれていますが、やはりクッキーを使ったPCと同じような形の認証方式に切り替えていくのがよいとのことです。   なお、徳丸氏は「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践」という本を執筆されたようです。 その中には今回のようなかんたんログインの話題や、ケータイのセッションのセキュリティについての情報も書かれているとのことですので、近いうちに目を通してまたレビューの形でご紹介させていただきたいと思います。   → amazon 体系的に学ぶ 安全なWebアプリケーションの作り方 [amazon.co.jp]   関連: ドコモのクッキー対応端末(iモードブラウザ2.0)のシェアは現状どれくらいなのかを調べてみました ヤマト運輸ケータイサイトに脆弱性があった問題の続報 ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです Read more..

ヤマト運輸ケータイサイトに脆弱性があった問題の続報

2010/10/26 火曜日 Posted in ニュース, 記事紹介・リンク | No Comments »

昨日の記事の続きです。 ヤマト運輸のケータイサイトに「かんたんログイン」関連の脆弱性があった問題について、やはり高木先生が日記にまとめてくれたようです。   → 高木浩光@自宅の日記 かんたんログイン方式で漏洩事故が発生 [takagi-hiromitsu.jp]   本件は、発見者がIPAよりも先に高木先生に相談したということもあり、実際のアプリを使った詳しい検証記事の形にまとめられています。   原因はやはりキャリアIPアドレスの制限が行われていなかったことのようですね。 IPアドレスによる制限がない場合は、ごく簡単にユーザIDの詐称が行われてしまうので、注意が必要です。   もちろん高木先生としては、IPアドレス制限による対策などではなく、かんたんログイン自体を捨て、cookieによるログイン制御を行うように進めています。   関連: ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」 ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 Read more..

ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです

2010/10/25 月曜日 Posted in ニュース, 記事紹介・リンク | No Comments »

ニュースです。 ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようで、ケータイ界隈のニュースサイトやブログで話題になっています。   時系列的には、YOMIURI ONLINEが最初に記事を掲載したようです。 → YOMIURI ONLINE(読売新聞) iPhoneで人の情報丸見え…閲覧ソフト原因 [yomiuri.co.jp]   その後、多くのニュースソースで取り上げられたようです。 内容的にはこちらの記事が的確でわかりやすいと思います。 → ITmedia News クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性 [itmedia.co.jp]   クロネコヤマト本家サイトの謝罪文はこちらです。 → ヤマト運輸 携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について [kuronekoyamato.co.jp]   どうも情報をまとめると、端末IDによるかんたんログイン機能を利用していたのに、IPアドレスによる制限をかけていなかった(もしくはiPhoneのIPアドレスは許可していた)というように読めます。 一番上のYOMIURI ONLINEの記事だと、一見iPhoneのアプリ「SBrowser」が悪いようにも読めるので、あまり正確ではないように感じますね。   ヤマト運輸側の対応がすばらしかったとの意見も出ています。 → [Z]ZAPAブロ~グ2.0 ヤマト運輸の対応が素晴らしかった [zapanet.info]   また、脆弱性を見つけた本人のブログエントリーも公開されています。 → Moba Photo Life!!: YOMIURI ONLINEに掲載された「iPhoneで人の情報丸見え」記事について、当事者から。   twitterやはてぶでは、いろんな情報が流れていますが、憶測の域を出ないものも多いので、このあたりにしておこうと思います。 本件は、最初の通報の時点から高木先生が絡んでいるようなので、おそらく近いうちに日記にまとめてくれることと思います。 また正確な情報が出てきましたら、記事にしたいと思います。   関連: マイコミジャーナルにもかんたんログインのセキュリティ問題の記事が掲載されています Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」 ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 Read more..

ケータイのダメダメなJavaScript実装について解説された記事「携帯電話事業者に学ぶ”XSS対策”」

2010/7/27 火曜日 Posted in 記事紹介・リンク | 1 Comment »

面白い記事を見かけたのでご紹介します。 ケータイのセキュリティに詳しい徳丸氏による、ケータイのJavaScript実装についてのブログエントリーです。   → ockeghem(徳丸浩)の日記 携帯電話事業者に学ぶ「XSS対策」 [d.hatena.ne.jp]   XSS脆弱性のあるスクリプトを用意して、ドコモのiモードブラウザ2.0端末と、ソフトバンクのJavaScript対応でテストを行うという内容なのですが、なかなかダメダメな実装となっています。 詳しくは上記のリンク先を見ていただくとして概要だけ触れると、ドコモはalertやconfirmを殺しているので一見動作せず。 ソフトバンクも「<」「>」「"」をカットしている、しかしパーセントエンコードを使うと入力できてしまう、という状況のようです。   どちらも一見XSSが起きないように対策を取っているようで(ドコモの方はXSS対策したつもりではないのかもしれませんが)、まったく意味がないという状態です。 特にソフトバンクの対応はひどいですね。 当たり前のことですが、ケータイサイトを作成する際にもPCサイトと同じようにXSS対策はしっかり行おう、というそんなお話でした。   関連: 6月25日にモバイルWebセキュリティの無料セミナー「スマートフォン時代のモバイルWebセキュリティ対策の極意」が行われるとのことです FlashをHTML5・JavaScriptに変換して動かすSmokescreenというものがあるそうです Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」 Read more..

6月25日にモバイルWebセキュリティの無料セミナー「スマートフォン時代のモバイルWebセキュリティ対策の極意」が行われるとのことです

2010/6/9 水曜日 Posted in お知らせ, タレコミ, ニュース | No Comments »

イベントのタレコミをいただきました。 情報提供ありがとうございます。 2010年6月25日(金)の14時から、東京都港区にあるKCCS東京支社で、無料のケータイWebセキュリティのセミナーが行われるとのことです。   “モバイルWebセキュリティセミナー” 「スマートフォン時代のモバイルWebセキュリティ対策の極意」 日時 2010年6月25日(金曜)14:00~ 場所 KCCS 東京支社 参加費 無料 → KCCS モバイルWebセキュリティセミナー 「スマートフォン時代のモバイルWebセキュリティ対策の極意」 [kccs.co.jp]   内容は次のようになっています。 プログラム1 KDDIのモバイルコンテンツビジネス戦略 (鴨志田博礼氏) プログラム2 進化したケータイWeb時代のモバイルセキュリティ対策 (徳丸浩氏) プログラム3 KCCS Webセキュリティサービスご紹介 (間嶋英之氏)   先日から話題のソフトバンク端末のJavaScriptを使った脆弱性を発表した徳丸氏も、スマートフォンも含めたモバイルのセキュリティについて話をされるとのことです。 KDDI関連のイベントでスマートフォンということなので、おそらくAndroidに関する話題が出てくるのではないかと思われます。 定員は80名とのことですので、興味のある方は上記ページ内のお申込フォームからお早めに申し込みをされるとよいと思います。   関連: Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」 Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題があるとのことです 国内ケータイ各社のcookie対応率がまとめられた記事「携帯Webのクッキー利用について調べてみたメモ」 Read more..

« Previous Entries
Next Entries »