| 関連するかも情報 |
|---|
RT @nsiena:
「クッキーで実装する。ログイン後に無期限のIDを クッキーとして発行。クッキーを使えないのはドコモたけ。/ そもそも UI がおかしい。押すだけのボタンなら最初からログインさせてしまえばいい。ログアウトも意味がない。昔の utn のなごり? なにこれ? #wasf
[t] 2010-05-22 14:49:07
|
RT @suzuki:
高木さん→「次の上野さんの時間を使わせて頂いて」w #wasf
[t] 2010-05-22 14:49:19
|
RT @nsiena:
「キャリアIPアドレスの明確な情報。HTTP/SSLでの安全な提供方法がない。機械的に処理可能な明確な記述がない。使用IPアドレスの増減。などなど。 #wasf
[t] 2010-05-22 14:49:25
|
RT @kthrtty:
ひろみつさ曰く、IPアドレスリストの更新・告知の運用はあまりにもお粗末。某ポータルのエンジニア曰く、PDFをparseして、dailyで取得してリストに登録してる。苦肉のさくすぎる #wasf
[t] 2010-05-22 14:49:41
|
RT @ash7:
高木先生が淡々とにこにこしながらコワイ話を次々と繰り出す件。生だと威力倍増w #wasf
[t] 2010-05-22 14:49:46
|
RT @nsiena:
「IPアドレスでのキャリア判定は確実ではない。公式情報の不在 →他キャリアと統合したサイト構築の方法は保証外。/ SSL接続で得たID はそのまま届く。任意に変更可能な場合に危険。HTTP/SSL のページを提供していないつもりでも稼動してしまっている場合もある。 #wasf
[t] 2010-05-22 14:49:53
|
RT @rryu2010:
環境変数経由で取得する場合はX-JPHONE-UIDとX_JPHONE_UIDが同じ名前になるのでX_JPHONE_UIDで送れば詐称できる可能性がある罠。 #wasf
[t] 2010-05-22 14:50:00
|
RT @ash7:
「かんたんログイン」のセキュリティ脆弱性の問題は日本だけ。しかもキャリア側も情報開示していない。DNS Rebindingについての議論は前からあるが。 cf. JVN#87730223,サイボウズOffice、JVN#06874657 OpenPNE #wasf
[t] 2010-05-22 14:50:11
|
RT @nsiena:
「ログイン認証の欠陥事例。DNS rebiding は古い問題 (199x)。ドコモ公式発表では、一般向けには対策などを提供していない。曰「Ajax などについては皆が知ってるはず」。 #wasf
[t] 2010-05-22 14:50:22
|
RT @kthrtty:
今回の徳丸さんまとめ、簡単ログインには穴がありそう。DocomoはJSの仕様を変えた。DNS RebindingでJSのSameOriginを突破可能。ポイントはHostヘッダの書換え機能。SBのJS対応端末はヤバイのがある。SSLでの簡単ログインはNG。 #wasf
[t] 2010-05-22 14:50:32
|
RT @nsiena:
「4ヶ月弱が経過。端末更新はないが、DNS が 5分程度キャッシュするなど挙動が変化。しかし、対策として不充分。90機種のマニュアルをダウンロードして検証。検証センターで実機 60台を 3時間で検証。4機種が Ajax が有効だった!」.o(偉すぎる #wasf
[t] 2010-05-22 14:50:53
|
RT @nsiena:
「setRequestHeader() で改変可能なヘッダいろいろ。ソフトバンクが Host フィールドを変更できてしまう! (要設定変更) →ソフトバンク社に連絡して対策打合せなど。 #wasf
[t] 2010-05-22 14:51:05
|
RT @nsiena:
「ケータイ2.0がパンドラの箱を開けてしまった。ソフトバンクも。2004/12 頃から、JavaScript 対応の端末あり。ただし、XHR、iframe, DOM などへ未サポートないし部分的サポートだった。 #wasf
[t] 2010-05-22 14:51:14
|
RT @_nat:
922SHでは setRqequestHeader サポートしていた! #wasf
[t] 2010-05-22 14:51:18
|
RT @_nat:
XMLHttpRequest + setRequestHeader で書き換え。半年間のJavascript停止以降、setRequestHeaderが機能しなくなった。 #wasf
[t] 2010-05-22 14:51:33
|
RT @kthrtty:
docomoのケータイJSが止まった理由。XHR経由でHeaderを書き換えられちゃうと考えられる。なんと、現在はsetRequestHeaderはI/Fのみの提供に変わってるぜ。 #wasf
[t] 2010-05-22 14:51:36
|
RT @nsiena:
「OdP 間の ID 移行の課題。サービス終了とともに、ID を失ってしまう → トラストプロバイドに加入していると、廃業する時には ID 引取り要請に応じなければならないということになっている。サービスの突然死でも対応可能な場合あり。」.o(かな? #wasf
[t] 2010-05-22 14:52:13
|
RT @ash7:
住所、電話番号、メールアドレスなどは識別子 identifier. Wii でいうところの mii は、Wii 内でのみ生きられる。これを Open にしたようなもの 、いわば "Open mii" = OpenID. #wasf
[t] 2010-05-22 14:52:42
|
RT @man5e:
HHK持ち込んでる人がいる。面白。 #wasf
[t] 2010-05-22 14:52:51
|
RT @kthrtty:
ログイン三兄弟。ログイン履歴、ログインシール、ログインアラート。個人的にはログインシールはセキュリティーに対して殆ど効果がないと思いますが。 #wasf
[t] 2010-05-22 14:53:21
|
