| 関連するかも情報 |
|---|
RT @ash7:
高木先生が淡々とにこにこしながらコワイ話を次々と繰り出す件。生だと威力倍増w #wasf
[t] 2010-05-22 14:49:46
|
RT @nsiena:
「IPアドレスでのキャリア判定は確実ではない。公式情報の不在 →他キャリアと統合したサイト構築の方法は保証外。/ SSL接続で得たID はそのまま届く。任意に変更可能な場合に危険。HTTP/SSL のページを提供していないつもりでも稼動してしまっている場合もある。 #wasf
[t] 2010-05-22 14:49:53
|
RT @rryu2010:
環境変数経由で取得する場合はX-JPHONE-UIDとX_JPHONE_UIDが同じ名前になるのでX_JPHONE_UIDで送れば詐称できる可能性がある罠。 #wasf
[t] 2010-05-22 14:50:00
|
RT @ash7:
「かんたんログイン」のセキュリティ脆弱性の問題は日本だけ。しかもキャリア側も情報開示していない。DNS Rebindingについての議論は前からあるが。 cf. JVN#87730223,サイボウズOffice、JVN#06874657 OpenPNE #wasf
[t] 2010-05-22 14:50:11
|
RT @nsiena:
「ログイン認証の欠陥事例。DNS rebiding は古い問題 (199x)。ドコモ公式発表では、一般向けには対策などを提供していない。曰「Ajax などについては皆が知ってるはず」。 #wasf
[t] 2010-05-22 14:50:22
|
RT @kthrtty:
今回の徳丸さんまとめ、簡単ログインには穴がありそう。DocomoはJSの仕様を変えた。DNS RebindingでJSのSameOriginを突破可能。ポイントはHostヘッダの書換え機能。SBのJS対応端末はヤバイのがある。SSLでの簡単ログインはNG。 #wasf
[t] 2010-05-22 14:50:32
|
RT @nsiena:
「4ヶ月弱が経過。端末更新はないが、DNS が 5分程度キャッシュするなど挙動が変化。しかし、対策として不充分。90機種のマニュアルをダウンロードして検証。検証センターで実機 60台を 3時間で検証。4機種が Ajax が有効だった!」.o(偉すぎる #wasf
[t] 2010-05-22 14:50:53
|
RT @nsiena:
「setRequestHeader() で改変可能なヘッダいろいろ。ソフトバンクが Host フィールドを変更できてしまう! (要設定変更) →ソフトバンク社に連絡して対策打合せなど。 #wasf
[t] 2010-05-22 14:51:05
|
RT @nsiena:
「ケータイ2.0がパンドラの箱を開けてしまった。ソフトバンクも。2004/12 頃から、JavaScript 対応の端末あり。ただし、XHR、iframe, DOM などへ未サポートないし部分的サポートだった。 #wasf
[t] 2010-05-22 14:51:14
|
RT @_nat:
922SHでは setRqequestHeader サポートしていた! #wasf
[t] 2010-05-22 14:51:18
|
RT @_nat:
XMLHttpRequest + setRequestHeader で書き換え。半年間のJavascript停止以降、setRequestHeaderが機能しなくなった。 #wasf
[t] 2010-05-22 14:51:33
|
RT @kthrtty:
docomoのケータイJSが止まった理由。XHR経由でHeaderを書き換えられちゃうと考えられる。なんと、現在はsetRequestHeaderはI/Fのみの提供に変わってるぜ。 #wasf
[t] 2010-05-22 14:51:36
|
RT @nsiena:
「OdP 間の ID 移行の課題。サービス終了とともに、ID を失ってしまう → トラストプロバイドに加入していると、廃業する時には ID 引取り要請に応じなければならないということになっている。サービスの突然死でも対応可能な場合あり。」.o(かな? #wasf
[t] 2010-05-22 14:52:13
|
RT @ash7:
住所、電話番号、メールアドレスなどは識別子 identifier. Wii でいうところの mii は、Wii 内でのみ生きられる。これを Open にしたようなもの 、いわば "Open mii" = OpenID. #wasf
[t] 2010-05-22 14:52:42
|
RT @man5e:
HHK持ち込んでる人がいる。面白。 #wasf
[t] 2010-05-22 14:52:51
|
RT @kthrtty:
ログイン三兄弟。ログイン履歴、ログインシール、ログインアラート。個人的にはログインシールはセキュリティーに対して殆ど効果がないと思いますが。 #wasf
[t] 2010-05-22 14:53:21
|
RT @koyhoge:
Yahoo Japan 一日の総ログイン回数が775万回、うち失敗するのが77万回(9.6%)。 #wasf
[t] 2010-05-22 14:53:31
|
RT @rryu2010:
今日のテーマは今までWASFが扱ってこなかったユーザー・クライアント側のセキュリティのうち、ID・パスワード系の話が今回のテーマ。 #wasf
[t] 2010-05-22 14:53:35
|
RT @higetomo:
テーマがブラックというか苦笑というか。でも、たぶんお勧め。 WASForum Conference 2010 :ウェブサイトの「ユーザ」と「ID」にかかわる成功事例と都市伝説。 http://wasforum.jp/ #wasf
[t] 2010-05-22 14:54:02
|
WASForumとは | Web Application Security Forum - WASForum http://wasforum.jp/
[t] 2010-05-22 14:56:01
|
