Archive for 5月, 2010

Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題があるとのことです

2010/5/24 月曜日 Posted in SoftBank, ニュース, 記事紹介・リンク | 5 Comments »

以前、ドコモのiモードブラウザ2.0のJavaScript機能とDNSリバインディングとを組み合わせて、かんたんログイン認証で成りすましを行うという脆弱性を発表したHASHコンサルティング株式会社ですが、今回またソフトバンクの一部端末でも同様の問題が起きるという情報を公開したようです。   → HASHコンサルティング株式会社 Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 [hash-c.co.jp]   影響がある機種は2006年冬モデル以降となっているのですが、その多くはサーバやアプリでHostフィールドをチェックすることで対策が可能です。 これらの端末の場合は、ドコモのiモードブラウザ2.0と同じ脆弱性ですので、既に多くの方が対応済みかと思います。 参考: → ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 [ke-tai.org]   しかしながら、「2008年春モデル以降のシャープ製端末の大半」および「820N」「821N」「830CA」「940SC」(※現在のところ判明している機種であることに注意)に関しては、現状アプリ側での対策ができないようです。 (setRequestHeaderメソッドでHostフィールドを上書き可能なため)   取り急ぎアプリ側で取れる苦しい対応としては、ユーザエージェントで上記端末を判定して、非対応機種として弾くことくらいかなと思ったのですが、シャープ端末はシェアが大きいですし難しいでしょう。 またこれらの機種のブラウザのsetRequestHeaderメソッドでUserAgentが上書きできるかどうかが気になるところです。(もしこれができるなら、端末判定も信用できません) もちろん、即日対応可能な内容ではないでしょうが、かんたんログインから他の認証方法に移るのが確実です。   上記のサイトでは、 ・端末シリアル番号またはユーザIDなど端末固有IDをかんたんログインおよびセッション管理に使用しない ・かんたんログインを利用するユーザに「Ajax規制」を「許可しない」に設定するか、あるいは「スクリプト設定」を「off」にしないと、なりすましの危険性があると注意喚起する を解決策・回避策として挙げています。   発見者の徳丸さんはいつもケータイ関係で重要な脆弱性を発表しておりスゴイですね。   関連: ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 iモードブラウザ2.0の JavaScript機能とかんたん認証を利用した不正アクセスの方法について 国内ケータイ各社のcookie対応率がまとめられた記事「携帯Webのクッキー利用について調べてみたメモ」 Read more..

国内ケータイ各社のcookie対応率がまとめられた記事「携帯Webのクッキー利用について調べてみたメモ」

2010/5/21 金曜日 Posted in DoCoMo, 記事紹介・リンク | 1 Comment »

モバツイの中の人が、ケータイ各社のcookie対応状況について調べた結果がまとめられていましたのでご紹介させていただきます。   → F's Garage:携帯Webのクッキー利用について調べてみたメモ [milkstand.net]   こちらの日記でも触れられていました。 → 高木浩光@自宅の日記 クッキー食えないのはドコモだけ [takagi-hiromitsu.jp]   結果は下の記事の方に表でまとめられたものがあるので、そちらのほうがわかりやすいです。 結果としては、auおよびSoftBankは、ほぼ全ての端末(98.7~99.9%)が対応しているのに対し、ドコモは28%とまだまだ普及は遠いようです。   最近、かんたんログインのセキュリティに対する問題が露見してきているので、今後はクッキーを使った認証が主流になっていきそうです。 ちょっと時間がなくてまだ詳しく調べていないのですが、mod_chxjにクッキーシミュレートの機能があったはずなので、もしかしたらこういうソフトを利用することで解決ができるのかもしれません。 → mod_chxj wiki クッキーシミュレート機能 [sourceforge.jp] → mod_chxj スレッド Cookie シミュレート機能のみ有効にしたい [sourceforge.jp]   関連: 絵文字や画像の自動変換を行ってくれるApacheモジュール「mod_chxj」を使ってみました(インストール編) ドコモのiモードブラウザの仕様が2009年夏モデルから大幅に変更になるようです ケータイ+Cookieのハマリどころをまとめた「携帯とCookieドメイン」(ウノウラボ) Read more..

auのEZ番号が5月10日から変更できない仕様となったようです

2010/5/21 金曜日 Posted in au, タレコミ | No Comments »

masalibさんからのタレコミです。 情報提供ありがとうございます。 auのEZ番号ですが、5月10日(月)から同じ利用者には同じEZ番号が付与され変更できない仕様になったようです。   → 高木浩光@自宅の日記 先週からEZ番号の変更が不可能にされていた [takagi-hiromitsu.jp] → auお客様サポート よくある質問 EZ番号(固体識別番号)を変更したい。 [cs119.kddi.com]   上記の記事によると、どうやら2chのアクセス規制の圧力に負けてこのような仕様変更を行ったようです。 今まで、EZwebオプション廃止→再加入でEZ番号が変えられる、という技は知らなかったのですが、今後はこのような手続きを取っても番号は固定となるようです。   この内容であれば、コンテンツ制作側にとっては大きなシステムへの変更は必要ないと思いますが、一応知識として覚えておくと良いと思われます。   ※追記です 別の方からタレコんでいただいた情報によると、2chが原因というわけではなく、ポイントサイトなどのいわゆる現金換金系サイトなどで、なんども繰り返し登録するという不正が横行しているので、それに対する対策ではないか、とのことです。   関連: ケータイのユーザIDを通知・非通知設定するためのURLまとめ ケータイの端末ID・ユーザIDの取得についてまとめてみました(サンプルプログラム編) ケータイの端末ID・ユーザIDの取得についてまとめてみました Read more..

ソフトバンクケータイが2010年夏モデルの一部からAjax対応になるようです

2010/5/19 水曜日 Posted in SoftBank, ニュース | 2 Comments »

ケータイコンテンツ作成者にとっては大きなニュースです。 昨日発表されたソフトバンクの2010年夏モデルですが、一部の機種で搭載されているブラウザがJavaScript(Ajax)に対応しているとのことです。   → ケータイWatch Yahoo!ケータイのブラウザが仕様改定、Ajaxなどに対応 [k-tai.impress.co.jp]   ドコモでは一足早く2009年夏モデル(iモードブラウザ2.0搭載機種)から、JavaScriptに対応しています。 ソフトバンクはそれを追う形となり、担当者の話では仕様的にも「NTTドコモのiモードブラウザ2.0に沿った形」との説明があったようです。 対応機種はいまのところ、944SH、945SHの2機種のようです。   auは今のところ説明はありませんが、もしかしたら同じタイミングで今年の夏モデルから対応しているのかもしれません。 詳しい端末仕様はまだ公開されていませんので、今後の発表に注目ですね。   ケータイサイトはブラウザの画面サイズや操作面での制約が多いため、少しでもユーザビリティを向上させることのできるAjaxとは親和性が高いと思われます。 対応端末のシェアが十分に上がれば、PCサイトよりもAjaxが活用される形になるのでないかと思っています。   関連: ドコモのフルブラウザのAjax対応状況 ケータイサイトのセキュリティチェック方法について解説された記事「自分でできるかんたんログインDNSリバインディング耐性のチェック」 iモードブラウザ2.0の JavaScript機能とかんたん認証を利用した不正アクセスの方法について Read more..

ドコモとソフトバンクの2010年夏モデルが発表されました

2010/5/18 火曜日 Posted in DoCoMo, SoftBank, ニュース | No Comments »

昨日のauの新モデル発表に続き、本日はドコモとソフトバンクの2010年夏モデルの発表が行われました。 ここ最近はソフトバンクがドコモの発表日にぶつける形で、同日に発表を行うという形が多いようですね。   まずはドコモです。 STYLEシリーズ10機種、PRIMEシリーズ4機種、SMARTシリーズ2機種、PROシリーズ1機種、スマートフォン3機種の合計20機種が発表されました。 → NTTdocomo 2010夏モデルの主な特長 [www.nttdocomo.co.jp] → GIGAZINE 本日発表されたNTTドコモ2010年夏モデルの全機種全画像・前編 [gigazine.net] → GIGAZINE 本日発表されたNTTドコモ2010年夏モデルの全機種全画像・後編 [gigazine.net]   続いてソフトバンクです。 ソフトバンクは全機種twitter対応というラインナップを打ち出してきました。 音声端末13機種、データ通信端末1機種、フォトフレーム1機種、ネットワークカメラ2機種の合計17機種が発表されています。 既に発表済みの機種が3機種ありますので、20機種が夏モデルのラインナップとなります。 → ソフトバンク 2010年夏モデル [live.mb.softbank.jp] → GIGAZINE 本日発表されたソフトバンクモバイル2010年夏モデルの全機種全画像・前編 [gigazine.net] → GIGAZINE 本日発表されたソフトバンクモバイル2010年夏モデルの全機種全画像・後編 [gigazine.net]   個人的にはドコモのWiFiルータが気になるところです。 (iPad 3Gモデルを予約してしまったのですが、早まったかもしれません。。。) また、どちらも細かい端末スペックがまだ公開されていないためわかりませんが、JavaScriptへの対応がどの程度進んでいるかなど、コンテンツ制作側としても気になる点が多いです。 5月末から順次発売されていくようですので、機種定義追加などが必要なコンテンツをお持ちの方はご注意ください。   関連: auの2010年夏モデルが発表されました ドコモとソフトバンクが2009年冬~春モデルを発表しました auの2009年秋冬新モデルが発表されたようです Read more..

« Previous Entries
Next Entries »