アカウント名:
パスワード:
携帯キャリアのIPアドレスにアクセス制限するとかよくいいますが、少なくともSSLサイトだと駄目ですね。高木浩光氏が サブスクライバーIDをパスワード代わりに使うべ [takagi-hiromitsu.jp]
そもそもSSL通信時は、iモードIDは付与できません。
softbankもSSL通信時はsecure.softbank.ne.jpを経由しないとx-jphone-uidは送信されません。
ゲートウェイで付加する方式だからSSLだと途中でヘッダを書き換えれないと。結果的に、上で指摘されている脆弱性を作り込んでしまうサイトは現れないわけですね。
うーん、それはそれで嫌な仕様だなあ。
iモード方式では、他人の uid を URL に入れてアクセスしようとしても、ゲートウェイが正しい id に置き換えることによって詐称が防止されています。SSL だとそれができないので、iモードID を使っている URL に SSL でのアクセスを許してしまうと、他人の id 詐称やり放題、ってことになります。
http://XXXX/ZZZZ でアクセスできるページに、https://XXXX/ZZZZ でもアクセスできることって結構あります。通常はそれで問題ないので、うっかりそのままにしちゃうサイトがありそうじゃないですか。
iモードID を使っている URL に SSL でのアクセスを許してしまうと、他人の id 詐称やり放題、ってことになります。
で、今回の新しい「iモードID」はリクエストヘッダに付ける方式なので、携帯電話でヘッダを自分で付けて送信することは不可能ということでその脆弱性は生じないという理解であっていますか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
銀行とかSSLサイトでは使ってはいけない技術 (スコア:1, 興味深い)
携帯キャリアのIPアドレスにアクセス制限するとかよくいいますが、少なくともSSLサイトだと駄目ですね。高木浩光氏が サブスクライバーIDをパスワード代わりに使うべ [takagi-hiromitsu.jp]
Re: (スコア:2, 興味深い)
ちなみにsoftbankもSSL通信時はsecure.softbank.ne.jpを経由しないとx-jphone-uidは送信されません。
Re:銀行とかSSLサイトでは使ってはいけない技術 (スコア:0)
Re: (スコア:0)
うーん、それはそれで嫌な仕様だなあ。
iモード方式では、他人の uid を URL に入れてアクセスしようとしても、ゲートウェイが正しい id に置き換えることによって詐称が防止されています。SSL だとそれができないので、iモードID を使っている URL に SSL でのアクセスを許してしまうと、他人の id 詐称やり放題、ってことになります。
http://XXXX/ZZZZ でアクセスできるページに、https://XXXX/ZZZZ でもアクセスできることって結構あります。通常はそれで問題ないので、うっかりそのままにしちゃうサイトがありそうじゃないですか。
Re: (スコア:0)
事例があったらぜひIPAに届け出を。
不正アクセスにならないテスト方法としては自分のIDでアクセスしてみればよいのではないかと。
で、今回の新しい「iモードID」はリクエストヘッダに付ける方式なので、携帯電話でヘッダを自分で付けて送信することは不可能ということでその脆弱性は生じないという理解であっていますか?