パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ヤマト運輸のモバイルサイトで「自分のものでないIDでログインできる」問題発生」記事へのコメント

  • ヤマトだけ? (スコア:2, すばらしい洞察)

    by Anonymous Coward
    まさかこれヤマトに限らず「クイックログイン」できるサイト全部に共通する話?
    • by Anonymous Coward on 2010年10月25日 11時39分 (#1846926)
      つーか、「クイックログイン」って何?って俺はぐぐって、ようやく割と定番なやり方だと知った。

      と言うか、たかが数桁の数字だけでログインできるってことは、番号をずらせば他の誰かの番号になるのが当たり前で(下手すりゃ隣の番号ですら)、脆弱性うんぬんより、こんなのが認証システムになってる事自体が信じられないんだけど。

      何か違う?

      親コメント
      • by greentea (17971) on 2010年10月25日 15時33分 (#1847160) 日記

        番号の偽装ができないガラケーからしかアクセスされないという前提では、番号を変えることができないから誰かになりすませない、ということです。
        今回はその前提が崩れたため、こういう事態になりました。

        「高木浩光 かんたんアクセス」でググるといっぱい出てきますが、過去にも、その前提が成り立たない使われ方をしていたこともあります。
        それ以前に、キャリアのIPアドレス帯域を、キャリア自身が「本情報はあくまでも目安としてご参照ください。ゲートウェイ以外から本IPアドレスでのアクセスがない事を保証するものではありません」のような免責事項を設定していたり、HTTPSではなくHTTPで情報提供をしていたりで、高木先生によると、危険とのことです。

        --
        1を聞いて0を知れ!
        親コメント
      • by Anonymous Coward

        携帯持ってないから知らないけどマジかよ・・・
        ブラウザを偽装してアクセスするどうたらこうたらってあるから、
        もしかしてブラウザの環境変数にセットしてそれをサイトが読み取って動作とかのレベル?
        それを認証に使うとかあほすぎる

      • by Anonymous Coward

        それがね…
        長々としたパスワードを入れさせると、当のユーザ様からの使いにく言ってクレームやら公開の場での批判なんかが、結構発生しちゃったりする
        それだけならともかく、長期的には客離れが発生するのよ

        いくら丁寧に説明しても分かっちゃくれない
        安全なんかより楽な方がいいんだろうね
        一般の人は

        • by Anonymous Coward

          Cookie使えばいいじゃんかと思いきや、docomoのiモードブラウザが昨年のiモード2.0ブラウザ搭載機までCookie使えなかったという事実… orz

          • by ksada (4435) on 2010年10月26日 8時25分 (#1847511)

            Cookieもヘッダ情報なので結局同じことになると思います。
            みなさん何で普通にPKI使わないで「俺認証方式」を再発明したがるんですかね。

            親コメント
            • by onetime_id (39093) on 2010年10月26日 12時42分 (#1847658) 日記

              十分に長くてランダムな文字列を「サイト毎に」生成していれば大丈夫です。

              携帯IDの問題は二つあって、一つは桁数の短くて適当に入れたものでも通る可能性が高いこと。

              二つ目は、携帯IDを取得しているサイトであれば、他のサイトに対してでもそのIDでアクセス出来ることなので。

              まぁログインするサイトがHTTPSでなくHTTPであることが脆弱性だ、と言われるとその通りだと思うし、実際そんなサイトも多い気はする。
              (/.もそうだよね。まぁ通信経路上に何か仕掛けて盗聴してまで乗っ取りたい物ではあるまい、という意味で別に構わないとは思うけど)

              親コメント
            • by Anonymous Coward
              おかねはだいじだよー

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...