ケータイのダメダメなJavaScript実装について解説された記事「携帯電話事業者に学ぶ”XSS対策”」

2010/7/27 火曜日 Posted in 記事紹介・リンク | 1 Comment »

面白い記事を見かけたのでご紹介します。 ケータイのセキュリティに詳しい徳丸氏による、ケータイのJavaScript実装についてのブログエントリーです。   → ockeghem(徳丸浩)の日記 携帯電話事業者に学ぶ「XSS対策」 [d.hatena.ne.jp]   XSS脆弱性のあるスクリプトを用意して、ドコモのiモードブラウザ2.0端末と、ソフトバンクのJavaScript対応でテストを行うという内容なのですが、なかなかダメダメな実装となっています。 詳しくは上記のリンク先を見ていただくとして概要だけ触れると、ドコモはalertやconfirmを殺しているので一見動作せず。 ソフトバンクも「<」「>」「"」をカットしている、しかしパーセントエンコードを使うと入力できてしまう、という状況のようです。   どちらも一見XSSが起きないように対策を取っているようで(ドコモの方はXSS対策したつもりではないのかもしれませんが)、まったく意味がないという状態です。 特にソフトバンクの対応はひどいですね。 当たり前のことですが、ケータイサイトを作成する際にもPCサイトと同じようにXSS対策はしっかり行おう、というそんなお話でした。   関連: 6月25日にモバイルWebセキュリティの無料セミナー「スマートフォン時代のモバイルWebセキュリティ対策の極意」が行われるとのことです FlashをHTML5・JavaScriptに変換して動かすSmokescreenというものがあるそうです Yahoo!ケータイのかんたんログイン脆弱性について詳しく解説された講演資料「ケータイ2.0が開けてしまったパンドラの箱 」 Read more..

FlashをHTML5・JavaScriptに変換して動かすSmokescreenというものがあるそうです

2010/6/3 木曜日 Posted in Flash | 1 Comment »

FlashをHTML5・JavaScriptに変換して動かすSmokescreenというものがあるとのことです。 なんとiPhoneやiPadにも対応しているらしいです。   → engadget日本語版 動画:FlashをHTML5に自動変換する Smokescreen、iPadでも動作 [japanese.engadget.com] → マイコミジャーナル HTML5+JavaScriptでFlashコンテンツを再現する「Smokescreen」 [journal.mycom.co.jp] → Appleウォッチ iPad/iPhoneでFlashを実行可能にするJavaScriptが登場 [www.computerworld.jp]   SmokescreenはFlashのswfファイルを解析して、HTML5+JavaScriptに変換するライブラリです。 Smokescreen自身はJavaScriptなので、ウェブページ側で読み込むように設定しておけば、ユーザ側に何かソフトをインストールする必要はないとのことです。   残念ながら(というか当たり前ではありますが)まだ全てのFlashが変換できるわけではなく、限定的な機能のみとなっているようですが、バナー広告などの単純なものであれば問題なく動作するようです。 Firefox、Safari、Opera、Google Chromeなどのプラウザに対応しており、iPhoneやiPadなどでも動作するとのことなので、Flashに対応していないこれらの端末にとっては、うまく使えばかなり便利なものになるのではないでしょうか。   関連: ソフトバンクのAndroidフォン「HTC Desire X06HT」にはFlash Lite 4.0が搭載されるようです 携帯Flashの操作ストレスとなるポイントをまとめた記事「携帯Flashサイトのユーザビリティ基礎」 ブックレビュー: Flash Liteで作る携帯コンテンツ実践教科書 Read more..

JavaScriptでiPhoneやAndroidのアプリを作れるTitanium Mobile

2010/3/5 金曜日 Posted in 記事紹介・リンク | 1 Comment »

少し前の記事ですが、@ITにiPhone・AndroidのアプリをHTMLとJavaScriptで作るという記事がありましたのでご紹介します。   → HTML+JavaScriptでiPhone/Androidアプリを作れるTitanium Mobileとは(1/3) - @IT [www.atmarkit.co.jp]   通常アプリを作るには、iPhoneはObjective-C、AndroidではJavaで作成するのが一般的ですが、この記事によると「Titanium Mobile」という開発環境を使って、HTML+JavaScriptでアプリ開発が可能なようです。 またiPhone・Androidだけではなく、「Titanium Desktop」を使うことで、MacやWindows向けのアプリも出力できるとのことです。 イメージとしてはAirに近い形なんですかね。   1年程前にご紹介したこちらの記事と同じ著者ですね。 このときは「PhoneGap」を使って開発する例が挙げられていました。 → ke-tai.org JavaScriptでiPhoneアプリを作る方法 – AppStore登録も可能 [ke-tai.org]   1つのコードで多くのプラットフォームで動くアプリが開発できるのは魅力ですね。 興味のある方はチェックしてみてはいかがでしょうか。   関連: JavaScriptでiPhoneアプリを作る方法 – AppStore登録も可能 iPhone開発について解説された連載記事「目指せ!iPhoneアプリ開発エキスパート」 90秒で理解するiPhone JavaScript(マルチタッチ編) Read more..

はてなのふるふるブックマークに対応してみました

2009/12/10 木曜日 Posted in iPhone | No Comments »

本日の「はてなブックマーク for iPhone」のリリースに合わせて、はてなにふるふるブックマークという機能ができたようなので、ke-tai.orgにも早速導入してみました。   →  はてな広報ブログ ”ふるふる”でブックマークしよう!はてなブックマーク for iPhoneリリース! [d.hatena.ne.jp]   こちらがマンガもついていてわかりやすいです。 → 川o・-・)<2nd life まほう少女はてなちゃん! iPhone のまき [d.hatena.ne.jp]   ふるふるブックマークとは、iPhoneを傾けて、画面を回転させることでブックマークするというものです。 これは結構面白いインターフェイスだと思います。 このようなインターフェイスは、他にも何か応用が利きそうですね。 ※寝っころがりながら見てると勝手にブックマークしようとすることもあるのが難点ですw   導入方法は簡単で、上記ページに公開されているscriptタグをページに貼るだけです。 当サイトはWordPressでできているので、共通ヘッダ部に一箇所貼るだけで全ページ対応することができました。 iPhoneでこのページをご覧の方は、是非ためしにふるふるしてブックマークしてみてください。   関連: はてなブックマークモバイル版の脆弱性とその対策について JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 iPhone OS 3.0のSafariでコピーふきだしを無効にするには Read more..

iモードブラウザ2.0のJavaScript機能とかんたん認証を利用した不正アクセスの方法について

2009/11/26 木曜日 Posted in ニュース, 記事紹介・リンク | No Comments »

フォーラムに複数の方からタレコミをいただきました。 (情報提供ありがとうございます) ドコモのiモードブラウザ2.0に搭載されているJavaScript機能と、かんたん認証を組み合わせた不正アクセスの方法について話題になっているようなので、ご紹介させていただきます。   まず時系列的にはこちらのエントリーが発端となっているようです。 → mpw.jp管理人のBlog iモード専用サイトのhtmlソースの閲覧方法 [mpw.jp] JavaScriptとDNSの書き換えを使って、IPアドレス制限がかけられたサイトからhtmlソースを抜き出す方法がまとめられています。   こちらの情報をベースに、HASHコンサルティングの徳丸浩さんが報告書の形にまとめたものがこちらです。 → HASHコンサルティング セキュリティ情報 iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 [hash-c.co.jp]   各種ニュースサイトでも取り上げられています。 → CNET Japan iモードブラウザ2.0の「かんたん認証」を利用した不正アクセス手法が発見される [japan.cnet.com]   実際の不正アクセス手法は、上記HASHコンサルティングさんのサイト上で図解入りで説明されていますので、そちらを参照されるのがわかりやすいと思います。 通常JavaScriptのXMLHttpRequestは、他ドメインと通信できないようになっていますが、DNS Rebindingを使ってそれを抜けている形のようですね。   コンテンツ開発側としてまず気になるのは対策方法ですが、上記のサイトでは次のような回避方法が記載されています。 iモードIDをかんたんログインおよびセッション管理に使用しない HTTPリクエストヘッダのHOSTフィールドの正当性をチェックする   DNSの書き換えを利用した不正アクセスですので、ホスト名のチェックで対策できるようです。 他にも「VirtualHostを利用し、デフォルトのドメイン領域にはコンテンツを置かない」という方法でも回避できるようです。 また下記のサイトではmod_rewriteを使った対策方法が提案されています。 →  ぱらめでぃうす 【対策編】iモード専用サイトのhtmlソースの閲覧方法 [parame.mwj.jp]   本件については、あの高木先生も「建設予定地」として準備しており、近いうちに何らかの記事にまとめてきそうな感じになっています。 → 高木浩光@自宅の日記 ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ [takagi-hiromitsu.jp]   かんたんログイン機能をご利用のサイトを運営中の方は、まずご自身のサイトをチェックしてみてください。   関連: @ITで開始されたセキュリティに関する連載記事「再考・ケータイWebのセキュリティ」 不具合により停止されていたドコモのJavaScript機能が復活するようです JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 Read more..

« Previous Entries