ドコモがPC向けの認証サービス「docomo ID」の提供を開始したようです その2

2010/3/11 木曜日 Posted in DoCoMo, 記事紹介・リンク | No Comments »

昨日に引き続き、OpenIDを使ったドコモのPC向け認証サービス「docomo ID」についてです。 このサービス、やはり少々波紋を呼んでいるようですね。   ITmedia +D モバイルに、ドコモ側のコメントが掲載されていました。 開発側の意図としてはPCサイトからケータイサイトへの誘導をより簡単にしたい、というところのようです。 → ITmedia +D モバイル PCサイトからiモードサイトへの導線を短くしたい ― docomo IDの狙い [plusd.itmedia.co.jp]   PHPでのサンプルコードを公開したブログもありました。 公式サイト上にあるサンプルはJavaだったため、PHPerには嬉しいですね。 → てっく★ゆきろぐ Rev2 PHP OpenID Library で RP Discovery要求対応の例 [tech.maid-san.org] → てっく★ゆきろぐ Rev2 docomo ID の独自APIにアクセスする(1) [tech.maid-san.org]   また同じブログでは、「『docomo ID認証が怪しげすぎる件』が怪しすぎる件」というエントリーもありました。 昨日ご紹介したこちらのブログ記事に対するもののようです。 → てっく★ゆきろぐ Rev2 『docomo ID認証が怪しげすぎる件』が怪しすぎる件 [tech.maid-san.org]   やはりdocomo ID経由でiモードIDが取得できる点が争点となっているようです。 ここら辺の扱いについては、まだ色々と議論の余地がありそうですね。   関連: ドコモがPC向けの認証サービス「docomo ID」の提供を開始したようです JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 読売新聞にドコモケータイのかんたんログイン脆弱性問題が取り上げあられたようです ... Read more..

読売新聞にドコモケータイのかんたんログイン脆弱性問題が取り上げあられたようです

2010/1/13 水曜日 Posted in ニュース, 記事紹介・リンク | No Comments »

昨年の11月末に発覚した、ドコモケータイのJavaScriptとかんたんログインの脆弱性の問題ですが、今頃になって読売新聞に取り上げられ、再び話題となっているようです。   読売新聞のニュースはこちらです。 → YOMIURI ONLINE 最新29機種ドコモ携帯、個人情報流出の恐れ [yomiuri.co.jp] スラッシュドットにも飛び火してますね。 → スラッシュドットジャパン ドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 [slashdot.jp]   以前にも記事にしましたが、簡単に原理を説明しますと、JavaScriptは通常自ドメインとしか通信ができないのですが、それをDNSのDNS Rebindingを使って回避し、情報を盗み出すという方法のようです。 → ke-tai.org iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について [ke-tai.org]   読売新聞の記事の見出しはかなり強い書き方をしていますが、実際のところ未だ被害も出ていないようですし、利用もなかなか難しいのかもしれません。 対応方法は上記のエントリーに書いていますので、まだ対応を取られていないという方はチェックしてみてください。   関連: iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 不具合により停止されていたドコモのJavaScript機能が復活するようです Read more..

iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について

2009/11/26 木曜日 Posted in ニュース, 記事紹介・リンク | No Comments »

フォーラムに複数の方からタレコミをいただきました。 (情報提供ありがとうございます) ドコモのiモードブラウザ2.0に搭載されているJavaScript機能と、かんたん認証を組み合わせた不正アクセスの方法について話題になっているようなので、ご紹介させていただきます。   まず時系列的にはこちらのエントリーが発端となっているようです。 → mpw.jp管理人のBlog iモード専用サイトのhtmlソースの閲覧方法 [mpw.jp] JavaScriptとDNSの書き換えを使って、IPアドレス制限がかけられたサイトからhtmlソースを抜き出す方法がまとめられています。   こちらの情報をベースに、HASHコンサルティングの徳丸浩さんが報告書の形にまとめたものがこちらです。 → HASHコンサルティング セキュリティ情報 iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 [hash-c.co.jp]   各種ニュースサイトでも取り上げられています。 → CNET Japan iモードブラウザ2.0の「かんたん認証」を利用した不正アクセス手法が発見される [japan.cnet.com]   実際の不正アクセス手法は、上記HASHコンサルティングさんのサイト上で図解入りで説明されていますので、そちらを参照されるのがわかりやすいと思います。 通常JavaScriptのXMLHttpRequestは、他ドメインと通信できないようになっていますが、DNS Rebindingを使ってそれを抜けている形のようですね。   コンテンツ開発側としてまず気になるのは対策方法ですが、上記のサイトでは次のような回避方法が記載されています。 iモードIDをかんたんログインおよびセッション管理に使用しない HTTPリクエストヘッダのHOSTフィールドの正当性をチェックする   DNSの書き換えを利用した不正アクセスですので、ホスト名のチェックで対策できるようです。 他にも「VirtualHostを利用し、デフォルトのドメイン領域にはコンテンツを置かない」という方法でも回避できるようです。 また下記のサイトではmod_rewriteを使った対策方法が提案されています。 →  ぱらめでぃうす 【対策編】iモード専用サイトのhtmlソースの閲覧方法 [parame.mwj.jp]   本件については、あの高木先生も「建設予定地」として準備しており、近いうちに何らかの記事にまとめてきそうな感じになっています。 → 高木浩光@自宅の日記 ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ [takagi-hiromitsu.jp]   かんたんログイン機能をご利用のサイトを運営中の方は、まずご自身のサイトをチェックしてみてください。   関連: @ITで開始されたセキュリティに関する連載記事「再考・ケータイWebのセキュリティ」 不具合により停止されていたドコモのJavaScript機能が復活するようです JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 Read more..

@ITで開始されたセキュリティに関する連載記事「再考・ケータイWebのセキュリティ」

2009/11/19 木曜日 Posted in 記事紹介・リンク | No Comments »

@ITでケータイのセキュリティに関する記事「再考・ケータイWebのセキュリティ」が連載開始されたようです。   → 再考・ケータイWebのセキュリティ 連載インデックス [atmarkit.co.jp] → 第1回 「PCでは見えないはず」に頼ることの危険性 [atmarkit.co.jp]   記事を書いたのは、ケータイのセキュリティに詳しい徳丸浩さんです。 以前当サイト内でも、JavaScriptとかんたんログインのセキュリティに関する記事をご紹介させていただいたこともあります。 徳丸浩さんのサイトはこちら → 徳丸浩の日記 [tokumaru.org]   連載は全四回が予定されており、第一回となる今回の記事では、「ケータイWebはどこが違うのか」という点について、解説されているようです。 ケータイWebで良く行われているセキュリティ対策を「神話」としてまとめ、危険性を指摘するなど、ケータイWeb開発を行っている人であれば、必ず理解しておいたほうが良い実践的な内容になっています。   筆者があの徳丸浩さんということもあり、これはかなり期待できる連載となりそうです。 次回の掲載が楽しみですね。   関連: 不具合により停止されていたドコモのJavaScript機能が復活するようです はてなブックマークモバイル版の脆弱性とその対策について JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 Read more..

はてなブックマークモバイル版の脆弱性とその対策について

2009/10/2 金曜日 Posted in ニュース, 記事紹介・リンク | 3 Comments »

先日はてなブックーマークモバイル版で、他人になりすましてアクセスできるという脆弱性があったのですが、 はてなからそれに対する公式なコメントが出ているようです。 原因とその対策についても触れられており、モバイルサイトを作成している方には参考になると思われるため、ご紹介させていただきます。   → はてなブックマーク日記 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 [hatena.ne.jp]   ご存知のない方のために軽く説明すると、9月下旬にid:guldeen氏のブックマークコメントが、何者かに改ざんされるという事件がありました。 当初、パスワードが盗まれたのでは?という話になっていましたが、どうやらセッションハイジャックによるものだったようです。   はてなの報告によると、モバイル版の一部のページでコンテンツをキャッシュしており、その中でセッションIDをキャッシュしてしまうという問題があったようです。 ドコモ端末の場合、ごく最近発売された機種を除きほとんどの機種でクッキーが利用できないため、セッションはURLの後ろにセッションIDを保持して引き継ぐという形になります。 そのリンクを踏んだ他のユーザは、そのセッション情報を引き継いでしまい、他人でログインしたのと同じ状況になってしまっていたようです。   今回の場合は、 セッションIDがURLについた状態でキャッシュしてしまっていた セッション情報が本人のものであるかどうかのチェック処理が足りなかった という2点が原因となっていたようです。 1の方は当たり前ですがセッション情報を取り除いてからキャッシュするようにする。 2に関しては、セッションやDB内にユーザ(契約者)ID・端末IDなどを保存しておき、アクセスの要所要所(可能なら毎回)で端末側からIDを取り直しそれと比較する、といった処理が必要になると思われます。   はてな側では不正アクセス禁止法違反と言っていますが、利用者は普通にアクセスするだけで他人になりすませたわけで、不正アクセスかどうかは微妙なところだと思います。   ケータイのセッション管理(特にドコモ端末)は、PCに比べセキュリティの問題が大きく関わってきます。 今回の件を教訓として、セッションを使ったサービスを開発する場合には、より一層の注意をしたほうが良さそうですね。   関連: JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 ソフトバンクの携帯用GatewayをPCで通る方法があるようです 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました Read more..

« Previous Entries
Next Entries »