| 関連するかも情報 |
|---|
RT @kthrtty:
意味ありげな、たかぎ先生のコメント。拡大解釈すると、「簡単ログイン」使えなくするから、いまからCookie方式に乗り換えないと、サービス継続に影響あるよ #wasf
[t] 2010-05-22 14:48:21
|
RT @nsiena:
「ヤマダ電機 iPhoneアプリの事例: ユニシスいわく「iPhone個体の識別子とアプリ固有IDでセキュリティの高い認証が可能」→ 安全ではない。/ 誤解が広まっている #wasf
[t] 2010-05-22 14:48:34
|
RT @koyhoge:
女子大生の声色でしゃべる高木さんが面白すぎる #wasf
[t] 2010-05-22 14:48:48
|
RT @nsiena:
「「かんたんログイン」と呼ぶこと自体をやめてしまおう! きゃんぺーん(笑) : 無思慮な技術者に真似され続けるので。発注者の目に触れさせないように。 #wasf
[t] 2010-05-22 14:48:54
|
RT @nsiena:
「クッキーで実装する。ログイン後に無期限のIDを クッキーとして発行。クッキーを使えないのはドコモたけ。/ そもそも UI がおかしい。押すだけのボタンなら最初からログインさせてしまえばいい。ログアウトも意味がない。昔の utn のなごり? なにこれ? #wasf
[t] 2010-05-22 14:49:07
|
RT @suzuki:
高木さん→「次の上野さんの時間を使わせて頂いて」w #wasf
[t] 2010-05-22 14:49:19
|
RT @nsiena:
「キャリアIPアドレスの明確な情報。HTTP/SSLでの安全な提供方法がない。機械的に処理可能な明確な記述がない。使用IPアドレスの増減。などなど。 #wasf
[t] 2010-05-22 14:49:25
|
RT @kthrtty:
ひろみつさ曰く、IPアドレスリストの更新・告知の運用はあまりにもお粗末。某ポータルのエンジニア曰く、PDFをparseして、dailyで取得してリストに登録してる。苦肉のさくすぎる #wasf
[t] 2010-05-22 14:49:41
|
RT @ash7:
高木先生が淡々とにこにこしながらコワイ話を次々と繰り出す件。生だと威力倍増w #wasf
[t] 2010-05-22 14:49:46
|
RT @nsiena:
「IPアドレスでのキャリア判定は確実ではない。公式情報の不在 →他キャリアと統合したサイト構築の方法は保証外。/ SSL接続で得たID はそのまま届く。任意に変更可能な場合に危険。HTTP/SSL のページを提供していないつもりでも稼動してしまっている場合もある。 #wasf
[t] 2010-05-22 14:49:53
|
RT @rryu2010:
環境変数経由で取得する場合はX-JPHONE-UIDとX_JPHONE_UIDが同じ名前になるのでX_JPHONE_UIDで送れば詐称できる可能性がある罠。 #wasf
[t] 2010-05-22 14:50:00
|
RT @ash7:
「かんたんログイン」のセキュリティ脆弱性の問題は日本だけ。しかもキャリア側も情報開示していない。DNS Rebindingについての議論は前からあるが。 cf. JVN#87730223,サイボウズOffice、JVN#06874657 OpenPNE #wasf
[t] 2010-05-22 14:50:11
|
RT @nsiena:
「ログイン認証の欠陥事例。DNS rebiding は古い問題 (199x)。ドコモ公式発表では、一般向けには対策などを提供していない。曰「Ajax などについては皆が知ってるはず」。 #wasf
[t] 2010-05-22 14:50:22
|
RT @kthrtty:
今回の徳丸さんまとめ、簡単ログインには穴がありそう。DocomoはJSの仕様を変えた。DNS RebindingでJSのSameOriginを突破可能。ポイントはHostヘッダの書換え機能。SBのJS対応端末はヤバイのがある。SSLでの簡単ログインはNG。 #wasf
[t] 2010-05-22 14:50:32
|
RT @nsiena:
「4ヶ月弱が経過。端末更新はないが、DNS が 5分程度キャッシュするなど挙動が変化。しかし、対策として不充分。90機種のマニュアルをダウンロードして検証。検証センターで実機 60台を 3時間で検証。4機種が Ajax が有効だった!」.o(偉すぎる #wasf
[t] 2010-05-22 14:50:53
|
RT @nsiena:
「setRequestHeader() で改変可能なヘッダいろいろ。ソフトバンクが Host フィールドを変更できてしまう! (要設定変更) →ソフトバンク社に連絡して対策打合せなど。 #wasf
[t] 2010-05-22 14:51:05
|
RT @nsiena:
「ケータイ2.0がパンドラの箱を開けてしまった。ソフトバンクも。2004/12 頃から、JavaScript 対応の端末あり。ただし、XHR、iframe, DOM などへ未サポートないし部分的サポートだった。 #wasf
[t] 2010-05-22 14:51:14
|
RT @_nat:
922SHでは setRqequestHeader サポートしていた! #wasf
[t] 2010-05-22 14:51:18
|
RT @_nat:
XMLHttpRequest + setRequestHeader で書き換え。半年間のJavascript停止以降、setRequestHeaderが機能しなくなった。 #wasf
[t] 2010-05-22 14:51:33
|
RT @kthrtty:
docomoのケータイJSが止まった理由。XHR経由でHeaderを書き換えられちゃうと考えられる。なんと、現在はsetRequestHeaderはI/Fのみの提供に変わってるぜ。 #wasf
[t] 2010-05-22 14:51:36
|
