JavaScriptのXMLHttpRequestでのクロスドメイン制限を回避できるなら、iアプリはどうなんだろう? ということで試してみた。ちなみにDocomoのiアプリは「制限したHTTP通信」をサポートしており、一応HTTPが扱えるが、携帯電話にダウンロードされたiアプリは、ダウンロード元のサーバへしかHTTP通信できない、また、HTTP以外の通信をサポートしない、という制限がある。 参考:Doja HttpConnection 「ダウンロード元のサーバへしかHTTP通信できない」という点においてJavaScript(Ajax?)と似ている。結果から言うと、iアプリもDNS Rebindingでダウンロード元以外のサーバへアクセス可能だと判明。 mydomain.comのIPアドレスを1.2.3.4にセット(1.2.3.4は自分が管理するサーバ) mydomain.com(1.2.3
NTTドコモの携帯電話のうち、インターネット閲覧ソフト「iモードブラウザ2・0」を搭載した最新29機種を通じて、利用者の個人情報を不正取得される恐れのあることが、専門家の指摘で明らかになった。 同社は携帯サイトの運営者にパスワード認証などの安全対策を呼びかけている。携帯電話の機能が高機能化するにつれ、こうした危険は増しており、利用者も注意が必要になってきた。 該当機種は、昨年5月以降に発表されたプロシリーズやスタイルシリーズなど。iモードブラウザ2・0は、ジャバスクリプトと呼ばれる機能が組み込まれており、携帯用のインターネットサイトと自動で情報をやりとりできる。 悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることができる。その時、この会員サイトに利用者の住所など個人データが登録されていると、盗み出されてしま
アイデアを検討しました 1000株に達した以下のアイデアを検討いたしました。ご要望いただいた皆さまありがとうございました。 はてなアイデア 検討:確認します はてなアイデア 検討:確認します はてなアイデア 実装済 はてなアイデア 検討:追加します はてなアイデア 検討:確認します はてなアイデア 検討:あったら便利ですね。可能性を再度検討しています。 モバイル版はてな「かんたんログイン」の脆弱性を修正しました 10/21にポケットはてな「かんたんログイン」のリニューアルを行いましたが、その際に脆弱性がありましたため、本日、修正いたしました。脆弱性の内容およびその影響範囲につきましては、下記のとおりです。 脆弱性の内容 10/21にかんたんログインの改修の際、ログイン処理があった端末から個体識別番号を取得し、データベースに保存する処理が変更をいたしました。この際、個体識別番号が送信された場
id:shi3zの乱暴な物言いは彼の個性で別に不快ではなかった。id:lalhaの私を慮ったフォローは嬉しかったが、クズ云々で話がそれて大事な議論が途中で吹き飛んでしまったのは残念だ。しこたま金霧島やら赤霧島を飲んで酔っ払って論うには微妙な話題だし、僕も言葉足らずだった。僕もブログは正義を執行する道具として不向きだと感じているが、公開可能な範囲で考えていることを整理してネット界隈のフィードバックを得る道具としては、そこそこ機能するのではないか。 「ブログやら報告書やらを書いただけで"俺はやるべきことはやった”などと主張するのは自己満足もいいところだ。そんなもの、意思決定が実際に可能な人間は誰も読んでないし、意思決定が可能な人間にいくら技術的な話をしても無意味。それどころかそれを公然と指摘することで潜在的なリスクを増大させることが害悪だ」 僕は未知の脆弱性や未公表の脆弱性情報について、ブログ
SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、 脆弱性発見後の適切な対策まで ●携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログインの可能性について検討する。 5月28にはてなダイアリーに書いた日記「i-mode2.0は前途多難」にて、今年のNTTドコモの夏モデルP-07AにてJavaScript機能が利用停止されたことを指摘した。同日付のNTTドコモ社のリリースによると、「ソフトウェア更新に伴い、高度化した機能の一部をご利用いただけなくなっていますが、再びご利用いただけるよう速やかに対処いたします」とあったが、それ以
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも「セッション」や「session」という語は出てこない。サンプルプログラムのCD-ROM上で session を検索しても出てこないので、セッションはどこでも使っていないのだろう。 そうは言っても、本書にはブログやSNSなど認証が必要なアプリケーションも登場する。本書で採用している認証方式はこうだ。 携帯電話の個体識別番号を用いた、いわゆる「かんたんログイン」のみを使う 認証状態をセッション管理機構で維持しない。全てのページで毎回認証する そのため、「iモードID」など、ユーザに確認せずに自動的に送信されるIDを用いる つまり、全て
既に発表されているように、NTTドコモの夏モデルからi-modeの仕様が大幅に拡張され、JavaScript、Cookie、Refererに対応するようになった。これら仕様変更はセキュリティの面からも影響が大きいため、私は夏モデルの中から、P-07Aを発売開始日(5月22日)に購入した。そして、リリースどおりJavaScript、Cookie、Refererが動作することを、実機にて確認した。 ところが、P-07Aと同日に発売開始されたN-06Aは、その日のうちに一時販売停止のお知らせが出る。 この度、弊社の携帯電話「N-06A」において、iモード接続時の不具合が確認されましたので、販売を一時見合わせさせていただきます。 なお、本事象に伴い、本日発表いたしました「N-08A」の販売開始日につきましても、5月28日から延期となります。 「N-06A」の販売再開及び「N-08A」の販売開始時期
Windows Vistaでも同様に注意深く設計されており、デフォルト設定でファイルを閲覧されることはないようだ。 これらに比べると「816SH」の設計はあまりにも不用心だ。初期設定のまま、ただBluetoothをオンにしただけで、この危険にさらされる。 図1や図2の画面をよくみると、「Bluetooth」「ペアリング」というタイトルが出ているので、「そこで気付け」という言い分があるかもしれない。たしかに、一度でもBluetoothで機器登録設定をやったことのある人なら、これらが何を意味するのか察知できるかもしれない。 だがどうだろう? 昨日の日記に書いたように、シャープ製他のソフトバンクモバイル端末を使っている人の多くが、Bluetoothを使っていないのに、Bluetoothが何かさえわからないまま、Bluetoothをオンにしてしまっている。ペアリングの経験もない人々だろう。そういう
■ 検出可能Bluetooth端末の3/4がシャープ社製か 1日の日記を書いた時点では、検出されるBluetooth対応携帯電話が多いのは、それだけBluetoothを使っている人が増えていて、「検出可能」設定のことを知らないためではないかと思っていたのだが、ブックマークコメントやその他の反応を見ると、そうではなく、Bluetoothが有効になっていることに気付いていない、さらにはBluetooth機能が搭載されていることさえ知らずにいる人が多いのではないかとのことだった。そう考えられる理由として、検出されるものが、シャープ社製のソフトバンクモバイル用端末に極端に偏っているようだからとのことだった。 そこで、1日の実験と6日の実験で検出された合計(ユニーク数)2332個*1のMACアドレスについて、上位24ビットの製造者固有ID(OUI)から登録製造者名を調べてみた(表1)。
Posted by nene2001 at 14:55 / Tag(Edit): mobile cookie session / 0 Comments: Post / View / 0 TrackBack / Google Maps 携帯電話のCookie周りについて考えてたら、色々まとまらなくなったので、タイトルあいまいで全部ここに書く。 恥ずかしながら携帯Cookie初心者です。 なので、それおかしいよ、とか、或いはとっくに常識だよ、的なこと書くかもしれませんが、ご容赦のほど。 取っ掛かり:DoCoMoのiモードIDについて これまで、DoCoMoがCookie使えないのを理由として、かつキャリア毎に大きく認証処理変えてたら開発が煩雑だよね、という理由で、3キャリア携帯の端末や個人識別IDをログイン手段として用いて、WILLCOMとか識別IDを出さない仕様の方を、Co
うわさの「PHP×携帯サイト デベロッパーズバイブル (www.amazon.co.jp)」を軽く見ましたが……「ゆるいなぁ」、というのがひとまずの感想。 メモ的なコメントを順不同でだらだら列挙しておきます。 最初の1行掲示板のサンプルがいきなり脆弱。「完成版」になっても脆弱。「auではテキスト入力欄で改行が入力できる」という発想の仕方がどうも……。auに限らず、テキスト入力欄に限らず、改行が入力されることは常にあり得ると考えたほうが良いと思うわけで。Cache-ControlをHTTP応答ヘッダではなくmeta要素で指定。20世紀のフリーCGIみたい?Content-TypeをHTTP応答ヘッダとmeta要素の両方で指定する必要があるように読めますが、metaは不要なはず。しかも、何故かmetaにだけcharsetがついており、肝心な方についていないので、これをそのまま実装するとはせがわ
人気記事 1 初のカラー電子ペーパー搭載「Kindle Colorsoft」日本上陸--Amazon純正品 2025年07月25日 2 複数のアップル製デバイスを一括保証する新プラン、「iPhone 17」発表前に登場 2025年07月24日 3 Googleマップの衛星写真に「スターリンク」?が映り込んでいると話題--赤・青・緑・白の理由は 2025年04月17日 4 スターリンク、一時全世界で通信障害--ウクライナ最前線も混乱 2025年07月25日 5 povoユーザーが「ChatGPT使い放題」に--「povo AI」無料で提供開始 2025年07月23日 6 「iOS 26」初のパブリックベータ版が公開、試すならサブのiPhoneで 2025年07月25日 7 マネーフォワード ME、PayPay履歴の取り込みを半自動化 iPhoneで 2025年07月24日 8 噂のOpenA
■ ケータイWebはどうなるべきか (未完成、あとで書く。) 技術的なセキュリティの話 先月27日の日記では、契約者固有IDによる「簡単ログイン」の危うさについて書いた。このログイン認証の実装方式は、携帯電話キャリアの「IPアドレス帯域」情報に基づいて、キャリアのゲートウェイからのアクセスのみ許すことによって、成り立ち得るものと考えられている(ケータイWeb開発者らには)ようだが、そもそも、その「IPアドレス帯域」なるものの安全な配布方式が用意されておらず、ケータイWeb運営者に対するDNSポイゾニング攻撃等によって、当該サイトに致命的な成り済まし被害が出かねない危険を孕んだものであることを書いた。 仮に、「IPアドレス帯域」の配布が安全に行われるようになったとしても、他にもリスクがある。通信路上に能動的盗聴者が現れたときに、致命的な成り済まし被害が出る。たとえば、6月3日の日記「通信路上
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
まぁ、Day 2000hit程度の(携帯勝手サイトの中では)中の下程度のサイトでしたが。 (今更になって)端末に付加されているユニークなIDにわーわー騒いでいる人が多いのですが、実際どのように使われていたのか、元携帯勝手サイト運営者が書いてみます。 参考リンク: 高木浩光@自宅の日「日本のインターネットが終了する日」 web屋のネタ帳「iPhoneと携帯契約者固有IDと複アカと青少年ネット規制によるケータイ闇ナベ狂想曲」 まず、背景ね。 アニメ・ゲームの情報交換系サイト。 Day 2000hit位の、携帯サイトの中では中の下かなぁ、という感じのサイト auがメイン、docomo対応はオマケ。PC・SoftBankからのアクセスは基本弾いていた 当時運営者の私は高校生 アニメ・ゲーム系サイトの中で、レンタル鯖使ってcgi置いてたりする勝手サイトは少なかったので、そういったサイトの管理人同士の
Webサイトを作る側にとって,インターネットとiモードで決定的な違いがあるのをご存知だろうか。実は,iモード(NTTドコモ)ではCookieが使えない。このため,iモード向けのWebアプリは,インターネットでは当然の,Cookieによるセッション管理ができないのだ。 iモードは「危険」とされるURLでセッションを管理 Cookieによるセッション管理を簡単に説明しておこう。もともとWebアクセスに使うアプリケーション・プロトコルには「セッション」という概念がない。このため,インターネット向けのWebアプリは,WebサイトからWebブラウザにセッション情報を渡し,次回以降のアクセスではWebブラウザからWebサイトへセッション情報を送ってもらう。こうして,一連のWebアクセスを関連付ける。そのために今どきのWebアプリが使うのが,Cookieという名の短いテキスト・データだ。WebサイトはW
不登校やひきこもりなど、子どもに関するさまざまな相談を受け付ける全国webカウンセリング協議会は26日、27日の両日、「ネットいじめ対応アドバイザー資格認定講座」の初講座を実施した。午前、午後の計4回開かれ、学校裏サイトの見つけ方や、嫌がらせを目的としたなりすましメールの受信拒否の方法などを教員らに指南。全国から受講希望者が殺到し、ネットいじめへの関心の高さがあらためて明らかになった。 ネットいじめに対応できる大人が圧倒的に不足 学校裏サイトは、児童や生徒が管理する学校関連のブログや掲示板で、本人が掲載を望まない画像や誹謗中傷が掲示されるなど、"ネットいじめ"の温床になっていると言われている。文部科学省が今年1月から3月に実施した調査では、全国に約3万8,000件の裏サイトが見つかった。また、本人になりすましてプロフィールサイト(プロフ)を立ち上げ、なりすまされた本人が、あたかも援助交際し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
