アカウント名:
パスワード:
と言うか、たかが数桁の数字だけでログインできるってことは、番号をずらせば他の誰かの番号になるのが当たり前で(下手すりゃ隣の番号ですら)、脆弱性うんぬんより、こんなのが認証システムになってる事自体が信じられないんだけど。
何か違う?
番号の偽装ができないガラケーからしかアクセスされないという前提では、番号を変えることができないから誰かになりすませない、ということです。今回はその前提が崩れたため、こういう事態になりました。
「高木浩光 かんたんアクセス」でググるといっぱい出てきますが、過去にも、その前提が成り立たない使われ方をしていたこともあります。それ以前に、キャリアのIPアドレス帯域を、キャリア自身が「本情報はあくまでも目安としてご参照ください。ゲートウェイ以外から本IPアドレスでのアクセスがない事を保証するものではありません」のような免責事項を設定していたり、HTTPSではなくHTTPで情報提供をしていたりで、高木先生によると、危険とのことです。
携帯持ってないから知らないけどマジかよ・・・ブラウザを偽装してアクセスするどうたらこうたらってあるから、もしかしてブラウザの環境変数にセットしてそれをサイトが読み取って動作とかのレベル?それを認証に使うとかあほすぎる
それがね…長々としたパスワードを入れさせると、当のユーザ様からの使いにく言ってクレームやら公開の場での批判なんかが、結構発生しちゃったりするそれだけならともかく、長期的には客離れが発生するのよ
いくら丁寧に説明しても分かっちゃくれない安全なんかより楽な方がいいんだろうね一般の人は
Cookie使えばいいじゃんかと思いきや、docomoのiモードブラウザが昨年のiモード2.0ブラウザ搭載機までCookie使えなかったという事実… orz
Cookieもヘッダ情報なので結局同じことになると思います。みなさん何で普通にPKI使わないで「俺認証方式」を再発明したがるんですかね。
十分に長くてランダムな文字列を「サイト毎に」生成していれば大丈夫です。
携帯IDの問題は二つあって、一つは桁数の短くて適当に入れたものでも通る可能性が高いこと。
二つ目は、携帯IDを取得しているサイトであれば、他のサイトに対してでもそのIDでアクセス出来ることなので。
まぁログインするサイトがHTTPSでなくHTTPであることが脆弱性だ、と言われるとその通りだと思うし、実際そんなサイトも多い気はする。(/.もそうだよね。まぁ通信経路上に何か仕掛けて盗聴してまで乗っ取りたい物ではあるまい、という意味で別に構わないとは思うけど)
まぁログインするサイトがHTTPSでなくHTTPであることが脆弱性だ、と言われるとその通りだと思うし、実際そんなサイトも多い気はする。
ところが SSL だと i モード ID は使えない [nttdocomo.co.jp]という問題がありましてですね……。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
ヤマトだけ? (スコア:2, すばらしい洞察)
Re:ヤマトだけ? (スコア:0)
と言うか、たかが数桁の数字だけでログインできるってことは、番号をずらせば他の誰かの番号になるのが当たり前で(下手すりゃ隣の番号ですら)、脆弱性うんぬんより、こんなのが認証システムになってる事自体が信じられないんだけど。
何か違う?
Re:ヤマトだけ? (スコア:1)
番号の偽装ができないガラケーからしかアクセスされないという前提では、番号を変えることができないから誰かになりすませない、ということです。
今回はその前提が崩れたため、こういう事態になりました。
「高木浩光 かんたんアクセス」でググるといっぱい出てきますが、過去にも、その前提が成り立たない使われ方をしていたこともあります。
それ以前に、キャリアのIPアドレス帯域を、キャリア自身が「本情報はあくまでも目安としてご参照ください。ゲートウェイ以外から本IPアドレスでのアクセスがない事を保証するものではありません」のような免責事項を設定していたり、HTTPSではなくHTTPで情報提供をしていたりで、高木先生によると、危険とのことです。
1を聞いて0を知れ!
Re: (スコア:0)
携帯持ってないから知らないけどマジかよ・・・
ブラウザを偽装してアクセスするどうたらこうたらってあるから、
もしかしてブラウザの環境変数にセットしてそれをサイトが読み取って動作とかのレベル?
それを認証に使うとかあほすぎる
Re: (スコア:0)
それがね…
長々としたパスワードを入れさせると、当のユーザ様からの使いにく言ってクレームやら公開の場での批判なんかが、結構発生しちゃったりする
それだけならともかく、長期的には客離れが発生するのよ
いくら丁寧に説明しても分かっちゃくれない
安全なんかより楽な方がいいんだろうね
一般の人は
Re: (スコア:0)
Cookie使えばいいじゃんかと思いきや、docomoのiモードブラウザが昨年のiモード2.0ブラウザ搭載機までCookie使えなかったという事実… orz
Re:ヤマトだけ? (スコア:2)
Cookieもヘッダ情報なので結局同じことになると思います。
みなさん何で普通にPKI使わないで「俺認証方式」を再発明したがるんですかね。
Re:ヤマトだけ? (スコア:1)
十分に長くてランダムな文字列を「サイト毎に」生成していれば大丈夫です。
携帯IDの問題は二つあって、一つは桁数の短くて適当に入れたものでも通る可能性が高いこと。
二つ目は、携帯IDを取得しているサイトであれば、他のサイトに対してでもそのIDでアクセス出来ることなので。
まぁログインするサイトがHTTPSでなくHTTPであることが脆弱性だ、と言われるとその通りだと思うし、実際そんなサイトも多い気はする。
(/.もそうだよね。まぁ通信経路上に何か仕掛けて盗聴してまで乗っ取りたい物ではあるまい、という意味で別に構わないとは思うけど)
Re:ヤマトだけ? (スコア:1)
ところが SSL だと i モード ID は使えない [nttdocomo.co.jp]という問題がありましてですね……。
Re: (スコア:0)