JavaScriptのXMLHttpRequestでのクロスドメイン制限を回避できるなら、iアプリはどうなんだろう? ということで試してみた。ちなみにDocomoのiアプリは「制限したHTTP通信」をサポートしており、一応HTTPが扱えるが、携帯電話にダウンロードされたiアプリは、ダウンロード元のサーバへしかHTTP通信できない、また、HTTP以外の通信をサポートしない、という制限がある。 参考:Doja HttpConnection 「ダウンロード元のサーバへしかHTTP通信できない」という点においてJavaScript(Ajax?)と似ている。結果から言うと、iアプリもDNS Rebindingでダウンロード元以外のサーバへアクセス可能だと判明。 mydomain.comのIPアドレスを1.2.3.4にセット(1.2.3.4は自分が管理するサーバ) mydomain.com(1.2.3
NTTドコモの携帯電話のうち、インターネット閲覧ソフト「iモードブラウザ2・0」を搭載した最新29機種を通じて、利用者の個人情報を不正取得される恐れのあることが、専門家の指摘で明らかになった。 同社は携帯サイトの運営者にパスワード認証などの安全対策を呼びかけている。携帯電話の機能が高機能化するにつれ、こうした危険は増しており、利用者も注意が必要になってきた。 該当機種は、昨年5月以降に発表されたプロシリーズやスタイルシリーズなど。iモードブラウザ2・0は、ジャバスクリプトと呼ばれる機能が組み込まれており、携帯用のインターネットサイトと自動で情報をやりとりできる。 悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることができる。その時、この会員サイトに利用者の住所など個人データが登録されていると、盗み出されてしま
アイデアを検討しました 1000株に達した以下のアイデアを検討いたしました。ご要望いただいた皆さまありがとうございました。 はてなアイデア 検討:確認します はてなアイデア 検討:確認します はてなアイデア 実装済 はてなアイデア 検討:追加します はてなアイデア 検討:確認します はてなアイデア 検討:あったら便利ですね。可能性を再度検討しています。 モバイル版はてな「かんたんログイン」の脆弱性を修正しました 10/21にポケットはてな「かんたんログイン」のリニューアルを行いましたが、その際に脆弱性がありましたため、本日、修正いたしました。脆弱性の内容およびその影響範囲につきましては、下記のとおりです。 脆弱性の内容 10/21にかんたんログインの改修の際、ログイン処理があった端末から個体識別番号を取得し、データベースに保存する処理が変更をいたしました。この際、個体識別番号が送信された場
SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、 脆弱性発見後の適切な対策まで ●携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログインの可能性について検討する。 5月28にはてなダイアリーに書いた日記「i-mode2.0は前途多難」にて、今年のNTTドコモの夏モデルP-07AにてJavaScript機能が利用停止されたことを指摘した。同日付のNTTドコモ社のリリースによると、「ソフトウェア更新に伴い、高度化した機能の一部をご利用いただけなくなっていますが、再びご利用いただけるよう速やかに対処いたします」とあったが、それ以
既に発表されているように、NTTドコモの夏モデルからi-modeの仕様が大幅に拡張され、JavaScript、Cookie、Refererに対応するようになった。これら仕様変更はセキュリティの面からも影響が大きいため、私は夏モデルの中から、P-07Aを発売開始日(5月22日)に購入した。そして、リリースどおりJavaScript、Cookie、Refererが動作することを、実機にて確認した。 ところが、P-07Aと同日に発売開始されたN-06Aは、その日のうちに一時販売停止のお知らせが出る。 この度、弊社の携帯電話「N-06A」において、iモード接続時の不具合が確認されましたので、販売を一時見合わせさせていただきます。 なお、本事象に伴い、本日発表いたしました「N-08A」の販売開始日につきましても、5月28日から延期となります。 「N-06A」の販売再開及び「N-08A」の販売開始時期
Webサイトを作る側にとって,インターネットとiモードで決定的な違いがあるのをご存知だろうか。実は,iモード(NTTドコモ)ではCookieが使えない。このため,iモード向けのWebアプリは,インターネットでは当然の,Cookieによるセッション管理ができないのだ。 iモードは「危険」とされるURLでセッションを管理 Cookieによるセッション管理を簡単に説明しておこう。もともとWebアクセスに使うアプリケーション・プロトコルには「セッション」という概念がない。このため,インターネット向けのWebアプリは,WebサイトからWebブラウザにセッション情報を渡し,次回以降のアクセスではWebブラウザからWebサイトへセッション情報を送ってもらう。こうして,一連のWebアクセスを関連付ける。そのために今どきのWebアプリが使うのが,Cookieという名の短いテキスト・データだ。WebサイトはW
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
