パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

iモードが契約者IDを非公式サイトに対してもデフォルトで自動送信へ」記事へのコメント

  • ドコモの発表資料 [nttdocomo.co.jp]だと、パスワードなしでログインできるというのが売りのようだけど、これは危険ですね。iモードIDは誰でも収集できる(勝手サイトに誘引するだけで受信できる)ので、誰でも送信できます。

    携帯キャリアのIPアドレスにアクセス制限するとかよくいいますが、少なくともSSLサイトだと駄目ですね。高木浩光氏が サブスクライバーIDをパスワード代わりに使うべ [takagi-hiromitsu.jp]

    • そもそもSSL通信時は、iモードIDは付与できません。 [nttdocomo.co.jp]
      ちなみにsoftbankもSSL通信時はsecure.softbank.ne.jpを経由しないとx-jphone-uidは送信されません。
      親コメント
      • by Anonymous Coward

        そもそもSSL通信時は、iモードIDは付与できません。
        ゲートウェイで付加する方式だからSSLだと途中でヘッダを書き換えれないと。 結果的に、上で指摘されている脆弱性を作り込んでしまうサイトは現れないわけですね。

        softbankもSSL通信時はsecure.softbank.ne.jpを経由しないとx-jphone-uidは送信されません。
        ほほう、それは怪しげな仕様ですね。secure.softbank.ne.jp は何の役割ですか?
        • by Anonymous Coward

          ゲートウェイで付加する方式だからSSLだと途中でヘッダを書き換えれないと。結果的に、上で指摘されている脆弱性を作り込んでしまうサイトは現れないわけですね。

          うーん、それはそれで嫌な仕様だなあ。

          iモード方式では、他人の uid を URL に入れてアクセスしようとしても、ゲートウェイが正しい id に置き換えることによって詐称が防止されています。SSL だとそれができないので、iモードID を使っている URL に SSL でのアクセスを許してしまうと、他人の id 詐称やり放題、ってことになります。

          http://XXXX/ZZZZ でアクセスできるページに、https://XXXX/ZZZZ でもアクセスできることって結構あります。通常はそれで問題ないので、うっかりそのままにしちゃうサイトがありそうじゃないですか。

          • by Anonymous Coward

            iモードID を使っている URL に SSL でのアクセスを許してしまうと、他人の id 詐称やり放題、ってことになります。
            うわーそれはヤバい。その話はちゃんと世間に周知されていますか?
            事例があったらぜひIPAに届け出を。
            不正アクセスにならないテスト方法としては自分のIDでアクセスしてみればよいのではないかと。

            で、今回の新しい「iモードID」はリクエストヘッダに付ける方式なので、携帯電話でヘッダを自分で付けて送信することは不可能ということでその脆弱性は生じないという理解であっていますか?

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...