パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ヤマト運輸のモバイルサイトで「自分のものでないIDでログインできる」問題発生」記事へのコメント

  • スマートフォン以外の携帯電話で同じようなことが起きるおそれはないんでしょうか
    例えば

    携帯電話で利用登録して「かんたんログイン」機能を使えるようにする

    登録したことを忘れる

    その端末を機種変して売っぱらう

    中古屋で端末を入手

    前所有者と同じサイトにアクセス

    「かんたんログイン」が使える(登録内容は前所有者の情報)

    • by Kidzuki_Nihiru (7762) on 2010年10月25日 12時13分 (#1846953)

      それは端末の識別番号が何に紐付いているかに依ります。

      # ちょっとググったらこんなのありました。
      # 公式コンテンツ・サービスは端末のIDと紐付いているのか、それともSIMカードのIDと紐付いているのでしょうか?
      # http://q.hatena.ne.jp/1256050594 [hatena.ne.jp]

      AUはSIM縛りがアレなのでよくわかりませんが、
      機種変して古い端末に別のSIMをさして使えば、別の識別番号になる場合がほとんどな気がするので、
      そこまで簡単では無いかと。
      まぁ、いずれにしても端末の識別番号はAmazonでいうところの「こんにちは、○○さん」とかログインID入力済みとか、
      その程度の紐付けにしか使っちゃダメで、必ずパスワードを入力させないといけません。
      個人情報とかと結びつかない、どうでもいい情報だけならいいかもしれないけど。

      というかガラキャリ専用のIPアドレス制限してないと、普通にHTTPヘッダ偽装で簡単に総当たり攻撃が可能です。
      気になる人はFirefoxのFireMobileSimulatorとLiveHttpHeadersで色々見てみましょう。

      親コメント
      • by Anonymous Coward on 2010年10月25日 16時17分 (#1847199)

        >気になる人はFirefoxのFireMobileSimulatorとLiveHttpHeadersで色々見てみましょう。
        そのFireMobileSimulatorですが、デフォルトのUID設定のまま使用してる人が居るみたいです。

        私自身UID変更しないまま、とあるサイトに行ったところ勝手にログイン。
        メールアドレスとニックネーム、住所の設定項目(空欄でした)が丸見えに。
        ログインパスワードの変更も可能そう?でした。
        もちろん、面倒な事になると嫌なんでそれ以上は触りませんでしたよ。

        親コメント
      • by Anonymous Coward

        というかガラキャリ専用のIPアドレス制限してないと、

        Softbankの一般ガラキャリとiPhoneのIPアドレスってはっきり区別できるんだろうか
        調べてみるとiPhoneのIPはちょくちょく変わってるようなので、「Softbankが保持するIPからは全部受け入れ」にしてもiPhoneからの偽装には対応できなくなる気がする

        • by Anonymous Coward
          iPhoneでのアクセス時のIPアドレスの範囲とそれ以外のケータイでのアクセス時のIPアドレスの範囲は
          明確に区別できます。

          なので、今回の話はクロネコヤマトのサイトがちゃんと分けていれば問題なかったはず。

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...