アカウント名:
パスワード:
ユーザ認証に「端末ID」を使っているサイトで発生するおそれがあるのではないかと思います
「端末IDとどこからアクセスしてるか」の組み合わせでは。端末IDだけならこれまでもPCで偽装しようと思えばできたわけだし。
スマートフォンなんてものが出回って、携帯電話会社のネットワークから偽装したブラウザでアクセスできるようになるとは思わなかったんでしょうね。
123.108.237.0/27 202.253.96.224/27 210.146.7.192/26 210.175.1.128/25
・フルブラウザからのアクセス
123.108.237.224/27 202.253.96.0/27
として告知されています。iPhoneはここに含まれません。 これに対してiPhoneの3G接続の場合は
126.0.0.0/8
の一部もしくは全体からアサインされるようです。 ※こちらについては公式発表文書が見つけられなかったので実機で確認したものです。
ところがですね。
SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ [hatena.ne.jp]なんて話もありまして。今でも有効かどうかは知りませんが。
スマホは自由であるが故に所謂ガラケーとは違う危険性も持つわけで。「牢獄の庭を歩く自由より、嵐の海だが、どこまでも泳げる自由を私なら選ぶ!!」(by 海江田四郎)という開かれた世界が否応なく来ているということでしょうかね。所謂ガラケーキャリア&ガラケー向けWebサービスは、スマホという黒船によって開国させられようとしているのかもしれません。鎖国状態であるが故のメリットは、開国することによるメリットと引き替えに失われる...歴史は繰り返すのですね。
な、なんちゅう「ヤマト」繋がり。
「牢獄の庭を歩く自由より、嵐の海だが、どこまでも泳げる自由を私なら選ぶ!!」
こりゃ iPhone っちゅーよりは WinMo っすね
こんなこともあろうかと
秘密通路を作っておいた
「牢獄の庭を歩く自由より、嵐の海だが、どこまでも泳げる自由を私なら選ぶ!!」こりゃ iPhone っちゅーよりは WinMo っすね
そう?Windows系には元々「牢獄の庭を歩く自由」という概念は無いのでは?
ガラケー:牢獄の巨大雑居房(DとKとSという部屋がある。相互の連絡は最低限に限られる。庭には出られない)。iPhone:牢獄(庭を歩く程度の自由はあるが、塀の外には出られない)iPhone(脱獄済み):自由だ! Free! ↓Windowsとか:最初っから脱獄の必要性もないが、勿論、路地裏には危ない人も...
結局、それぞれメリットとデメリットがあるわけで、まだまだ考えなきゃいけないことは沢山ありそうです。
# 雑居房の中でぬくぬくしているっていう選択肢もあっていいと思うんだけど、まぁ、そうも行かなそうですね。
>> こりゃ iPhone っちゅーよりは WinMo っすね> Windows系には元々「牢獄の庭を歩く自由」という概念は無いのでは?WinMo6まではそうだったと思いますが、Windows Phone 7ではサードパーティーのコードはSilverlight上のマネージコードしか許されない(よってWP7版Firefoxの開発は断念された)とか、明らかに牢獄路線ですね。しかし圧倒的なシェアを持っているPC上ならともかく、大きく出遅れてるモバイルの世界でIE7と8の中間なんて貧弱なブラウザがWebKitに対抗できるんですかね。
おいどんのS22HTはWindowsMobile6.1ですけど、レジストリをいじってセキュリティアンロックしんと自由にアプリをインストールできなかったです
auさんとかDoCoMoさんでも、スマートフォンは別IPからのアクセスなんですよね?でもスマートフォンから、携帯メール出来ますよってモード(DoCoMoさんだとSPモード?)だと携帯のネットワーク内に入る事になるんですかね?
そうなるとIPアドレスで判定していても、やっぱり判定不能という事に・・・
スマートフォンが無いので、この辺よくわかっていないので申し訳無いですが。スマートフォン利用の方、教えて頂けますと幸いです。
そういえばヤマトのケータイ用のページって、何も細工なしにPCから見ることができますよね…。# もちろん「かんたんログイン」はできませんが
--つまりIPアドレス制限すらかかってない
iPhoneはガラケーの「IPアドレス帯域」を使わないことになっているそうです。つまり、本当にちゃんと「IPアドレス帯域」をチェックしていたなら起きなかったかもしれないことです(しかしソフトバンクが保証しているわけではないので本当にそれで安全かどうかは誰も知らない)。
UserAgent偽装可能なスマートフォンがiphoneが初ではないよね。iphone=スマートフォンならそれで通るけど、スマートフォンてiphone以前からあったわけで。
CEが動くDoCoMoでなら初のクイックログイン導入時で既に実証するまでもない穴だったけど、見ないふりしていたってことでしょう。
こういうのってクイックログインの先導者を認識ある過失で追及できないんですかねぇ。
そして、悪者にされるiPhone。
「iPhoneで人の情報丸見え」
閲覧ソフトとシステムの問題だろ?#被害妄想強すぎ?
その辺の感覚がこちら側の世界と、世間一般という向こう側の世界では違うのだろうね。
PCで言えば所謂 携帯シミュレータで機種個体IDを設定できるものなんてありふれていて、たとえばFireFoxプラグインとかにもあるよね。だから第一に「当該サイトの問題」であり、さらに言うなら「ソフトの問題」であってWinが悪いとかMacが悪いとか言わない。
でも世間一般では、PCと携帯は「違うもの」。そしてiPhoneに代表されるスマートフォンは「携帯に属する」。ということで、それがIDを詐称できちゃうというのは脅威に感じるのかもしれない。だから iPhone って怖いね!となるのかもしれない。
こっちから見たら、PCとの違いなんて無いのに何を言っているの、という感じだけどね。
書き方悪かった。
というのがYahooトップにのった。
iPhoneが悪いみたい・・・
「iPhoneで人の情報丸見え」Yahoo というか Softbank だと宣伝にしか見えないのは、私の心が汚れているからだろう。
たぶん。。。
極秘ツール「iPhone」で個人情報ぶっこぬき
そんなことできるiPhoneアプリを許したAppleもなー審査とは何をしてんだか
ははぁ、戦艦みたいなもんですか。
強すぎ。
>被害妄想強すぎ?
うん。有名税を払ってるのはAppleであってお前じゃない。なぜお前がそこまで憤るんだ?
と言うか、たかが数桁の数字だけでログインできるってことは、番号をずらせば他の誰かの番号になるのが当たり前で(下手すりゃ隣の番号ですら)、脆弱性うんぬんより、こんなのが認証システムになってる事自体が信じられないんだけど。
何か違う?
番号の偽装ができないガラケーからしかアクセスされないという前提では、番号を変えることができないから誰かになりすませない、ということです。今回はその前提が崩れたため、こういう事態になりました。
「高木浩光 かんたんアクセス」でググるといっぱい出てきますが、過去にも、その前提が成り立たない使われ方をしていたこともあります。それ以前に、キャリアのIPアドレス帯域を、キャリア自身が「本情報はあくまでも目安としてご参照ください。ゲートウェイ以外から本IPアドレスでのアクセスがない事を保証するものではありません」のような免責事項を設定していたり、HTTPSではなくHTTPで情報提供をしていたりで、高木先生によると、危険とのことです。
携帯持ってないから知らないけどマジかよ・・・ブラウザを偽装してアクセスするどうたらこうたらってあるから、もしかしてブラウザの環境変数にセットしてそれをサイトが読み取って動作とかのレベル?それを認証に使うとかあほすぎる
それがね…長々としたパスワードを入れさせると、当のユーザ様からの使いにく言ってクレームやら公開の場での批判なんかが、結構発生しちゃったりするそれだけならともかく、長期的には客離れが発生するのよ
いくら丁寧に説明しても分かっちゃくれない安全なんかより楽な方がいいんだろうね一般の人は
Cookie使えばいいじゃんかと思いきや、docomoのiモードブラウザが昨年のiモード2.0ブラウザ搭載機までCookie使えなかったという事実… orz
Cookieもヘッダ情報なので結局同じことになると思います。みなさん何で普通にPKI使わないで「俺認証方式」を再発明したがるんですかね。
十分に長くてランダムな文字列を「サイト毎に」生成していれば大丈夫です。
携帯IDの問題は二つあって、一つは桁数の短くて適当に入れたものでも通る可能性が高いこと。
二つ目は、携帯IDを取得しているサイトであれば、他のサイトに対してでもそのIDでアクセス出来ることなので。
まぁログインするサイトがHTTPSでなくHTTPであることが脆弱性だ、と言われるとその通りだと思うし、実際そんなサイトも多い気はする。(/.もそうだよね。まぁ通信経路上に何か仕掛けて盗聴してまで乗っ取りたい物ではあるまい、という意味で別に構わないとは思うけど)
まぁログインするサイトがHTTPSでなくHTTPであることが脆弱性だ、と言われるとその通りだと思うし、実際そんなサイトも多い気はする。
ところが SSL だと i モード ID は使えない [nttdocomo.co.jp]という問題がありましてですね……。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
ヤマトだけ? (スコア:2, すばらしい洞察)
Re:ヤマトだけ? (スコア:2, 参考になる)
ユーザ認証に「端末ID」を使っているサイトで発生するおそれがあるのではないかと思います
Re:ヤマトだけ? (スコア:2, 参考になる)
#他の項目があったら、クイックログイン成立しないけど
Re:ヤマトだけ? (スコア:2, すばらしい洞察)
「端末IDとどこからアクセスしてるか」の組み合わせでは。
端末IDだけならこれまでもPCで偽装しようと思えばできたわけだし。
スマートフォンなんてものが出回って、携帯電話会社のネットワークから偽装したブラウザでアクセスできるようになるとは思わなかったんでしょうね。
Re:ヤマトだけ? (スコア:4, 参考になる)
当然ですよね。ガラケーはセンターで一括したゲートウェイから出て行きますが、スマートフォンは基本的に端末側にグローバルIPアドレスがつきますから。
つまり、サーバ側は端末側が自己申告した情報のみで振り分けており、PC上で同様の携帯電話エミュレータ等を用いて接続すると同様の問題が起きる可能性があると言うことです。もっと言えばクローラーを用いて個人情報抜き取り放題です。
FYI: SBM発表の携帯電話アクセス元 [softbank.jp]には
・Yahoo!ケータイからのアクセス
・フルブラウザからのアクセス
として告知されています。iPhoneはここに含まれません。
これに対してiPhoneの3G接続の場合は
の一部もしくは全体からアサインされるようです。
※こちらについては公式発表文書が見つけられなかったので実機で確認したものです。
# rm -rf ./.
Re:ヤマトだけ? (スコア:2, 興味深い)
ところがですね。
SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ [hatena.ne.jp]なんて話もありまして。
今でも有効かどうかは知りませんが。
スマホは自由であるが故に所謂ガラケーとは違う危険性も持つわけで。
「牢獄の庭を歩く自由より、嵐の海だが、どこまでも泳げる自由を私なら選ぶ!!」(by 海江田四郎)という開かれた世界が否応なく来ているということでしょうかね。
所謂ガラケーキャリア&ガラケー向けWebサービスは、スマホという黒船によって開国させられようとしているのかもしれません。
鎖国状態であるが故のメリットは、開国することによるメリットと引き替えに失われる...歴史は繰り返すのですね。
独立宅配国家くろねこやまと (スコア:2)
な、なんちゅう「ヤマト」繋がり。
Re: (スコア:0)
こりゃ iPhone っちゅーよりは WinMo っすね
Re: (スコア:0)
こんなこともあろうかと
秘密通路を作っておいた
Re:ヤマトだけ? (スコア:1, 興味深い)
そう?
Windows系には元々「牢獄の庭を歩く自由」という概念は無いのでは?
ガラケー:牢獄の巨大雑居房(DとKとSという部屋がある。相互の連絡は最低限に限られる。庭には出られない)。
iPhone:牢獄(庭を歩く程度の自由はあるが、塀の外には出られない)
iPhone(脱獄済み):自由だ! Free! ↓
Windowsとか:最初っから脱獄の必要性もないが、勿論、路地裏には危ない人も...
結局、それぞれメリットとデメリットがあるわけで、まだまだ考えなきゃいけないことは沢山ありそうです。
# 雑居房の中でぬくぬくしているっていう選択肢もあっていいと思うんだけど、まぁ、そうも行かなそうですね。
Re: (スコア:0)
>> こりゃ iPhone っちゅーよりは WinMo っすね
> Windows系には元々「牢獄の庭を歩く自由」という概念は無いのでは?
WinMo6まではそうだったと思いますが、Windows Phone 7ではサードパーティーのコードはSilverlight上のマネージコードしか許されない(よってWP7版Firefoxの開発は断念された)とか、明らかに牢獄路線ですね。
しかし圧倒的なシェアを持っているPC上ならともかく、大きく出遅れてるモバイルの世界でIE7と8の中間なんて貧弱なブラウザがWebKitに対抗できるんですかね。
Re: (スコア:0)
最近囚人が激増して
誰かれ構わず刑務所の中に
入れたがるのがウザいんすよ
近頃は見ただけで囚人扱いですわ
違うっつの
まあいずれにしても次は囚人になるしかないんですけど
Re: (スコア:0)
おいどんのS22HTはWindowsMobile6.1ですけど、レジストリをいじってセキュリティアンロックしんと
自由にアプリをインストールできなかったです
Re:ヤマトだけ? (スコア:1)
auさんとかDoCoMoさんでも、スマートフォンは別IPからのアクセスなんですよね?
でもスマートフォンから、携帯メール出来ますよってモード(DoCoMoさんだとSPモード?)だと携帯のネットワーク内に入る事になるんですかね?
そうなるとIPアドレスで判定していても、やっぱり判定不能という事に・・・
スマートフォンが無いので、この辺よくわかっていないので申し訳無いですが。
スマートフォン利用の方、教えて頂けますと幸いです。
Re: (スコア:0)
そういえばヤマトのケータイ用のページって、何も細工なしにPCから見ることができますよね…。
# もちろん「かんたんログイン」はできませんが
--
つまりIPアドレス制限すらかかってない
Re: (スコア:0)
DoCoMoのSPモードはプライベートIPアドレスだったりする。
Re:ヤマトだけ? (スコア:2, 興味深い)
iPhoneはガラケーの「IPアドレス帯域」を使わないことになっているそうです。
つまり、本当にちゃんと「IPアドレス帯域」をチェックしていたなら起きなかったかもしれないことです(しかしソフトバンクが保証しているわけではないので本当にそれで安全かどうかは誰も知らない)。
Re: (スコア:0)
UserAgent偽装可能なスマートフォンがiphoneが初ではないよね。
iphone=スマートフォンならそれで通るけど、
スマートフォンてiphone以前からあったわけで。
CEが動くDoCoMoでなら初のクイックログイン導入時で
既に実証するまでもない穴だったけど、
見ないふりしていたってことでしょう。
こういうのってクイックログインの先導者を
認識ある過失で追及できないんですかねぇ。
Re:ヤマトだけ? (スコア:2)
そして、悪者にされるiPhone。
「iPhoneで人の情報丸見え」
閲覧ソフトとシステムの問題だろ?
#被害妄想強すぎ?
-- gonta --
"May Macintosh be with you"
Re:ヤマトだけ? (スコア:3, 興味深い)
その辺の感覚がこちら側の世界と、世間一般という向こう側の世界では違うのだろうね。
PCで言えば所謂 携帯シミュレータで機種個体IDを設定できるものなんてありふれていて、
たとえばFireFoxプラグインとかにもあるよね。
だから第一に「当該サイトの問題」であり、さらに言うなら「ソフトの問題」であってWinが悪いとかMacが悪いとか言わない。
でも世間一般では、PCと携帯は「違うもの」。
そしてiPhoneに代表されるスマートフォンは「携帯に属する」。
ということで、それがIDを詐称できちゃうというのは脅威に感じるのかもしれない。
だから iPhone って怖いね!となるのかもしれない。
こっちから見たら、PCとの違いなんて無いのに何を言っているの、という感じだけどね。
Re:ヤマトだけ? (スコア:2)
書き方悪かった。
「iPhoneで人の情報丸見え」
というのがYahooトップにのった。
iPhoneが悪いみたい・・・
-- gonta --
"May Macintosh be with you"
Re:ヤマトだけ? (スコア:1)
「iPhoneで人の情報丸見え」
Yahoo というか Softbank だと宣伝にしか見えないのは、私の心が汚れているからだろう。
たぶん。。。
Re:ヤマトだけ? (スコア:1)
極秘ツール「iPhone」で個人情報ぶっこぬき
1を聞いて0を知れ!
Re: (スコア:0)
そんなことできるiPhoneアプリを許したAppleもなー
審査とは何をしてんだか
Re: (スコア:0)
タッチパネル式のスマートフォンの総称なんですよ。
大手新聞紙面的には、たぶん。
Re:ヤマトだけ? (スコア:2, おもしろおかしい)
ははぁ、戦艦みたいなもんですか。
Re:ヤマトだけ? (スコア:1)
Re: (スコア:0)
強すぎ。
Re: (スコア:0)
>被害妄想強すぎ?
うん。
有名税を払ってるのはAppleであってお前じゃない。
なぜお前がそこまで憤るんだ?
Re: (スコア:0)
と言うか、たかが数桁の数字だけでログインできるってことは、番号をずらせば他の誰かの番号になるのが当たり前で(下手すりゃ隣の番号ですら)、脆弱性うんぬんより、こんなのが認証システムになってる事自体が信じられないんだけど。
何か違う?
Re:ヤマトだけ? (スコア:1)
番号の偽装ができないガラケーからしかアクセスされないという前提では、番号を変えることができないから誰かになりすませない、ということです。
今回はその前提が崩れたため、こういう事態になりました。
「高木浩光 かんたんアクセス」でググるといっぱい出てきますが、過去にも、その前提が成り立たない使われ方をしていたこともあります。
それ以前に、キャリアのIPアドレス帯域を、キャリア自身が「本情報はあくまでも目安としてご参照ください。ゲートウェイ以外から本IPアドレスでのアクセスがない事を保証するものではありません」のような免責事項を設定していたり、HTTPSではなくHTTPで情報提供をしていたりで、高木先生によると、危険とのことです。
1を聞いて0を知れ!
Re: (スコア:0)
携帯持ってないから知らないけどマジかよ・・・
ブラウザを偽装してアクセスするどうたらこうたらってあるから、
もしかしてブラウザの環境変数にセットしてそれをサイトが読み取って動作とかのレベル?
それを認証に使うとかあほすぎる
Re: (スコア:0)
それがね…
長々としたパスワードを入れさせると、当のユーザ様からの使いにく言ってクレームやら公開の場での批判なんかが、結構発生しちゃったりする
それだけならともかく、長期的には客離れが発生するのよ
いくら丁寧に説明しても分かっちゃくれない
安全なんかより楽な方がいいんだろうね
一般の人は
Re: (スコア:0)
Cookie使えばいいじゃんかと思いきや、docomoのiモードブラウザが昨年のiモード2.0ブラウザ搭載機までCookie使えなかったという事実… orz
Re:ヤマトだけ? (スコア:2)
Cookieもヘッダ情報なので結局同じことになると思います。
みなさん何で普通にPKI使わないで「俺認証方式」を再発明したがるんですかね。
Re:ヤマトだけ? (スコア:1)
十分に長くてランダムな文字列を「サイト毎に」生成していれば大丈夫です。
携帯IDの問題は二つあって、一つは桁数の短くて適当に入れたものでも通る可能性が高いこと。
二つ目は、携帯IDを取得しているサイトであれば、他のサイトに対してでもそのIDでアクセス出来ることなので。
まぁログインするサイトがHTTPSでなくHTTPであることが脆弱性だ、と言われるとその通りだと思うし、実際そんなサイトも多い気はする。
(/.もそうだよね。まぁ通信経路上に何か仕掛けて盗聴してまで乗っ取りたい物ではあるまい、という意味で別に構わないとは思うけど)
Re:ヤマトだけ? (スコア:1)
ところが SSL だと i モード ID は使えない [nttdocomo.co.jp]という問題がありましてですね……。
Re: (スコア:0)
これが最後のヤマトだとは...... (スコア:0)
そういう話ではない?
西崎さん