パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

iモードが契約者IDを非公式サイトに対してもデフォルトで自動送信へ」記事へのコメント

  • by Anonymous Coward on 2008年03月30日 20時48分 (#1322112)
    ドコモの発表資料 [nttdocomo.co.jp]だと、パスワードなしでログインできるというのが売りのようだけど、これは危険ですね。iモードIDは誰でも収集できる(勝手サイトに誘引するだけで受信できる)ので、誰でも送信できます。

    携帯キャリアのIPアドレスにアクセス制限するとかよくいいますが、少なくともSSLサイトだと駄目ですね。高木浩光氏が サブスクライバーIDをパスワード代わりに使うべきでない理由 [takagi-hiromitsu.jp] というのを言っています。要点だけ言うとこの図 [takagi-hiromitsu.jp]ですね。SSLが必要になるような回線でつないでいるなら、間に入って送信できちゃうと。SSLはこういうのの防止にあるわけで。

    • そもそもSSL通信時は、iモードIDは付与できません。 [nttdocomo.co.jp]
      ちなみにsoftbankもSSL通信時はsecure.softbank.ne.jpを経由しないとx-jphone-uidは送信されません。
      親コメント
      • by Anonymous Coward

        そもそもSSL通信時は、iモードIDは付与できません。
        ゲートウェイで付加する方式だからSSLだと途中でヘッダを書き換えれないと。 結果的に、上で指摘されている脆弱性を作り込んでしまうサイトは現れないわけですね。

        softbankもSSL通信時はsecure.softbank.ne.jpを経由しないとx-jphone-uidは送信されません。
        ほほう、それは怪しげな仕様ですね。secure.softbank.ne.jp は何の役割ですか?
        • by Anonymous Coward

          ゲートウェイで付加する方式だからSSLだと途中でヘッダを書き換えれないと。結果的に、上で指摘されている脆弱性を作り込んでしまうサイトは現れないわけですね。

          うーん、それはそれで嫌な仕様だなあ。

          iモード方式では、他人の uid を URL に入れてアクセスしようとしても、ゲートウェイが正しい id に置き換えることによって詐称が防止されています。SSL だとそれができないので、iモードID を使っている URL に SSL でのアクセスを許してしまうと、他人の id 詐称やり放題、ってことになります。

          http://XXXX/ZZZZ でアクセスできるページに、https://XXXX/ZZZZ でもアクセスできることって結構あります。通常はそれで問題ないので、うっかりそのままにしちゃうサイトがありそうじゃないですか。

          • by Anonymous Coward

            iモードID を使っている URL に SSL でのアクセスを許してしまうと、他人の id 詐称やり放題、ってことになります。
            うわーそれはヤバい。その話はちゃんと世間に周知されていますか?
            事例があったらぜひIPAに届け出を。
            不正アクセスにならないテスト方法としては自分のIDでアクセスしてみればよいのではないかと。

            で、今回の新しい「iモードID」はリクエストヘッダに付ける方式なので、携帯電話でヘッダを自分で付けて送信することは不可能ということでその脆弱性は生じないという理解であっていますか?

    • by Anonymous Coward
      しかし、常識的な構成でその攻撃を成功させるためにはDoCoMoゲートウェイのIPアドレスを詐称した状態で
      TCP接続を成功させる必要があるわけで、それって結構難しいんでは無いだろうか。

      # そもそもSIMカードに証明書でも何でも入れればいいじゃんとは思うが。

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...