EZwebのIPアドレス帯域の一部が2012年4月で廃止になっています

2012/5/2 水曜日 Posted in au, ニュース | No Comments »

au(EZweb)のIPアドレス帯域の一部が2012年4月で廃止になっています。   → KDDI au 技術情報 IPアドレス帯域 [au.kddi.com]   削除された帯域は次の通りです。 61.117.1.0/28 219.125.148.0/25 222.5.63.0/25 222.5.63.128/25   サイト上では、「2012年4月廃止」となっていましたが、何日に廃止されるのかがわからず、念のため5月になってから作業を行いました。 もう少し詳しく書いてくれると助かりますね。   関連: ソフトバンク(Yahoo!ケータイ)のIPアドレス帯域の追加の日程が延期になっているようです EZwebのIPアドレス帯域の一部が2012年4月に削除になるようです 2011年1月11日付けでウィルコムのIPアドレス帯域に追加があったようです Read more..

auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです(続きの続き)

2011/11/30 水曜日 Posted in au, タレコミ, ニュース, 記事紹介・リンク | No Comments »

続報が来ましたので、記事にしたいと思います。 前回の記事はこちら、前々回の記事はこちらです。   前回までのおさらい。 KimuraMemoさんの記事からの情報によると、auの2011年秋冬モデルである「F001」のPCサイトビューアーからアクセスした場合、接続元IPアドレス帯域がEZfactoryのページにある情報と違い、何かおかしい気がする。   結論からいうと、KDDIの新GWで「かんたんログイン」のなりすましの問題が発覚し、その対処のためあえて異なるIPアドレス帯域を使っていたようです。 一時期は危険な状態にありましたが、現在は問題が解決しているとのことです。 このあたりの経緯は徳丸氏の書いた記事に詳しくまとめられています。   → 徳丸浩 KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された [blog.tokumaru.org]   F001発売後まもなくの時点で、ひそかに徳丸氏の元に脆弱性の相談がありKDDIに連絡、その後翌日すぐに対処が行われたとのことです。   EZfactoryのサイトにも修正情報が掲載されています。 (フォーラムからも情報提供いただきました。ありがとうございます。) → KDDI au EZfactory 技術情報 IPアドレス帯域 [au.kddi.com]   削除 「※2011年秋冬モデル以降の一部機種ではPCSVとEZブラウザのIPアドレス帯域は統合されますが、 例えば、ユーザーエージェントを組み合わせることでブラウザを判別することができます。」 削除 「※2011年秋冬モデル以降の一部機種では、EZブラウザ、PCサイトビューアーのIPアドレス帯域が統一されます。」 追加情報として、「2011年秋冬モデル以降の一部機種のEZサーバ」という新たな帯域情報が掲載されています。 結果としては帯域が増えたくらいで、以前に近い形に落ち着きましたね。   「元を正せばかんたんログイン自体が悪い」という意見には賛成のため、本質ではないかもしれませんが、KDDIの今回予定されていたEZサーバとPCSVサーバのIPアドレス帯域の統合という作業は、本当にやるべきだったのか疑問に感じます。 (結局元の形に戻ってしまっていますし) 端末のPCサイトビューアーの出来に依存してしまうため、危険なかんたんログインが今回のように更に危うい形になってしまうと思います。   私自身、このようなサイトを運営していながら、すっかりガラケーの仕事からは離れてしまっているので、ここ最近の現場はわからないですが、技術者の多くが、問題のあるかんたんログインは実装したくないというのが本音になってきていると思います。 なぜなら単純で簡単なクッキー実装に比べて、あまりにリスキーで難易度が高いためです。   ただ、そこでキモとなるのは、クッキー非対応端末、具体的にはiモード1.0端末のシェアです。 この夏に出たL-10Cなど、iモード1.0端末は最近発売された機種の中にもまだ存在します。 久しぶりに調べてみましたが、2011年10月時点で、「ドコモの約45.1%、全体の約24.7%がクッキー非対応端末」でした。 → 参考: モバイルユーザー傾向DATABOX(2011年10月) [web-tan.forum.impressrd.jp]   算出方法は、前回の調査と同様です。 端末ごとのシェアが不明のため、そこがアバウトなのと、ウェブをアクティブに使う層は、新しい端末を使う傾向があるので、実際のクッキー非対応端末のシェアはもう少し低いと思われます。あくまで参考程度にお使いください。 ・2010年10月時点で、ドコモ内の70.6%がクッキー非対応、全キャリアで40.2%がクッキー非対応 ・2011年2月時点で、ドコモ内の53.7%がクッキー非対応、全キャリアで29.8%がクッキー非対応 でしたので、過去に比べて順調に下がってはきています。 ただ、この数値を多いとみるか少ないとみるかは、多くの場合が顧客(=システム開発の発注元)の意向次第というところがあるでしょう。   私としてはクッキー非対応端末のシェアは確実に減りつつありますので、もう危なっかしいかんたんログインを新規で制作する必要はないと思います。 また既存のシステムでも、クッキー対応端末を判別して分けるなどで、かんたんログインのリスクを下げる形に徐々に移行していくとよいかもしれません。   関連: auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです(続き) auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです auのIPアドレス帯域が追加され、EZブラウザとPCサイトビューアーとが共通の帯域となるようです Read more..

auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです(続き)

2011/11/23 水曜日 Posted in au, ニュース, 記事紹介・リンク | No Comments »

前回の記事の続きです。   auの2011年秋冬モデルである「F001」のヘッダ問題について、Kimura.Memoさんが追加調査を行い、その結果が公開されています。 → Kimura.Memo F001のPCサイトビューアーでsetRequestHeader [d.hatena.ne.jp]   結論としては、ユーザエージェントの変更も、HTTP_X_UP_SUBNOの追加も出来ないとのことです。 さすがにauさんも富士通さんも、そこまで抜けてはいないということで一安心ですね。   ただ、こちらの「bROOM.LOG !」さんのブログエントリーでは、単純な方法だけではなく、何かしらの方法で値を変更・追加できる可能性も示唆されています。 → [ bROOM.LOG ! ] auのPCサイトビューアーで脆弱性が発覚か? – 続:auのEZWebがそろそろ終了しそうな件 [blog.rocaz.net]   auのカスタマーサポート宛に質問を投げてみたとのことなので、その回答に期待したいところです。 何か続報があればまた取り上げさせていただきたいと思います。   また、PCサイトビューアー上からアクセスすると、公式サイト上に記載されていないIPアドレス帯域からアクセスが来るとのことですが、それがいつでもそうなのか、たまには記載されている帯域からのアクセスが来ることがあるのかも気になるところです。 端末が手元に無いのが非常にもどかしい><   関連: auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです auの今後のサーバ仕様変更に伴うセキュリティについて言及した記事「EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点」 auのIPアドレス帯域が追加され、EZブラウザとPCサイトビューアーとが共通の帯域となるようです Read more..

auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです

2011/11/21 月曜日 Posted in au, 記事紹介・リンク | No Comments »

auの2011年秋冬モデルである「F001」の技術情報について、興味深い記事がありましたのでご紹介させていただきます。 情報元は、これまで何度もご紹介させていただいているKimura.Memoさんです。 いつも良い記事をありがとうございます。   → Kimura.Memo F001のHTTPヘッダ [d.hatena.ne.jp]   まず従来機種にあった「HTTP-X-UP-*」系のヘッダの多くが無くなっているようです。 上記の記事内にもありますが、画面の大きさを取得する「HTTP-X-UP-DEVCAP-SCREENPIXELS」が無くなったのは痛いですね。 画像などの出し分けロジックに影響がありそうです。 (今後はドコモのように機種ごとで持つ形にしないといけないかもしれません)   EZ番号(旧称サブスクライバID)が取得できる「HTTP_X_UP_SUBNO」の扱いは変わっていないようですが、通常のEZwebブラウザとPCサイトビューアーのIPアドレス帯域が統一された関係で、PCサイトビューア+JavaScriptを使っての値のねつ造ができないかどうかが気になります。 上記の記事を見ると、本来来るはずのない帯域からアクセスが来ているとのことなのですが、この辺りの問題が解決できてなかったからとかではないでしょうね。。。   この問題について詳しく知りたい方は、こちらの記事が参考になります。 → ockeghem(徳丸浩)の日記 EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点 [d.hatena.ne.jp]   関連: auの今後のサーバ仕様変更に伴うセキュリティについて言及した記事「EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点」 auのIPアドレス帯域が追加され、EZブラウザとPCサイトビューアーとが共通の帯域となるようです auの2011年夏モデルの発売に伴いEZfactoryが更新されているようです Read more..

iPhone4Sを買って来ました

2011/10/14 金曜日 Posted in au, iPhone | No Comments »

本日発売のiPhone4Sを買って来ました。 auの64GB・白です。   iPhone4からの移行のためか、軽く使った感じでは、体感では特に変化が感じられないですね。 電波はずいぶん良くなるみたいなので、そこに期待したところです。   とりあえず参考までにユーザエージェントを書いておきます。 Mozilla/5.0 (iPhone; CPU iPhone OS 5_0 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Version/5.1 Mobile/9A334 Safari/7534.48.3   IP帯域はこうでした。 さすがにガラケーとは違う帯域ですね。 182.249.101.58 調べるとKDDI株式会社の割り振りのようですが、広すぎてまだ何ともですね。   関連: KDDIからiPhone5が発売されるという報道が流れています ブックレビュー:PhoneGap入門ガイド ブックレビュー:iPhoneアプリで稼ごう Read more..

« Previous Entries