ヤマト運輸ケータイサイトに脆弱性があった問題の続報

2010/10/26 火曜日 Posted in ニュース, 記事紹介・リンク | No Comments »

昨日の記事の続きです。 ヤマト運輸のケータイサイトに「かんたんログイン」関連の脆弱性があった問題について、やはり高木先生が日記にまとめてくれたようです。   → 高木浩光@自宅の日記 かんたんログイン方式で漏洩事故が発生 [takagi-hiromitsu.jp]   本件は、発見者がIPAよりも先に高木先生に相談したということもあり、実際のアプリを使った詳しい検証記事の形にまとめられています。   原因はやはりキャリアIPアドレスの制限が行われていなかったことのようですね。 IPアドレスによる制限がない場合は、ごく簡単にユーザIDの詐称が行われてしまうので、注意が必要です。   もちろん高木先生としては、IPアドレス制限による対策などではなく、かんたんログイン自体を捨て、cookieによるログイン制御を行うように進めています。   関連: ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」 ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 Read more..