関連するかも情報 |
RT @nsiena: 「IPアドレスでのキャリア判定は確実ではない。公式情報の不在 →他キャリアと統合したサイト構築の方法は保証外。/ SSL接続で得たID はそのまま届く。任意に変更可能な場合に危険。HTTP/SSL のページを提供していないつもりでも稼動してしまっている場合もある。 #wasf
[t] 2010-05-22 14:49:53
|
RT @rryu2010: 環境変数経由で取得する場合はX-JPHONE-UIDとX_JPHONE_UIDが同じ名前になるのでX_JPHONE_UIDで送れば詐称できる可能性がある罠。 #wasf
[t] 2010-05-22 14:50:00
|
RT @ash7: 「かんたんログイン」のセキュリティ脆弱性の問題は日本だけ。しかもキャリア側も情報開示していない。DNS Rebindingについての議論は前からあるが。 cf. JVN#87730223,サイボウズOffice、JVN#06874657 OpenPNE #wasf
[t] 2010-05-22 14:50:11
|
RT @nsiena: 「ログイン認証の欠陥事例。DNS rebiding は古い問題 (199x)。ドコモ公式発表では、一般向けには対策などを提供していない。曰「Ajax などについては皆が知ってるはず」。 #wasf
[t] 2010-05-22 14:50:22
|
RT @kthrtty: 今回の徳丸さんまとめ、簡単ログインには穴がありそう。DocomoはJSの仕様を変えた。DNS RebindingでJSのSameOriginを突破可能。ポイントはHostヘッダの書換え機能。SBのJS対応端末はヤバイのがある。SSLでの簡単ログインはNG。 #wasf
[t] 2010-05-22 14:50:32
|
RT @nsiena: 「4ヶ月弱が経過。端末更新はないが、DNS が 5分程度キャッシュするなど挙動が変化。しかし、対策として不充分。90機種のマニュアルをダウンロードして検証。検証センターで実機 60台を 3時間で検証。4機種が Ajax が有効だった!」.o(偉すぎる #wasf
[t] 2010-05-22 14:50:53
|
RT @nsiena: 「setRequestHeader() で改変可能なヘッダいろいろ。ソフトバンクが Host フィールドを変更できてしまう! (要設定変更) →ソフトバンク社に連絡して対策打合せなど。 #wasf
[t] 2010-05-22 14:51:05
|
RT @nsiena: 「ケータイ2.0がパンドラの箱を開けてしまった。ソフトバンクも。2004/12 頃から、JavaScript 対応の端末あり。ただし、XHR、iframe, DOM などへ未サポートないし部分的サポートだった。 #wasf
[t] 2010-05-22 14:51:14
|
RT @_nat: 922SHでは setRqequestHeader サポートしていた! #wasf
[t] 2010-05-22 14:51:18
|
RT @_nat: XMLHttpRequest + setRequestHeader で書き換え。半年間のJavascript停止以降、setRequestHeaderが機能しなくなった。 #wasf
[t] 2010-05-22 14:51:33
|
RT @kthrtty: docomoのケータイJSが止まった理由。XHR経由でHeaderを書き換えられちゃうと考えられる。なんと、現在はsetRequestHeaderはI/Fのみの提供に変わってるぜ。 #wasf
[t] 2010-05-22 14:51:36
|
RT @nsiena: 「OdP 間の ID 移行の課題。サービス終了とともに、ID を失ってしまう → トラストプロバイドに加入していると、廃業する時には ID 引取り要請に応じなければならないということになっている。サービスの突然死でも対応可能な場合あり。」.o(かな? #wasf
[t] 2010-05-22 14:52:13
|
RT @ash7: 住所、電話番号、メールアドレスなどは識別子 identifier. Wii でいうところの mii は、Wii 内でのみ生きられる。これを Open にしたようなもの 、いわば "Open mii" = OpenID. #wasf
[t] 2010-05-22 14:52:42
|
RT @man5e: HHK持ち込んでる人がいる。面白。 #wasf
[t] 2010-05-22 14:52:51
|
RT @kthrtty: ログイン三兄弟。ログイン履歴、ログインシール、ログインアラート。個人的にはログインシールはセキュリティーに対して殆ど効果がないと思いますが。 #wasf
[t] 2010-05-22 14:53:21
|
RT @koyhoge: Yahoo Japan 一日の総ログイン回数が775万回、うち失敗するのが77万回(9.6%)。 #wasf
[t] 2010-05-22 14:53:31
|
RT @rryu2010: 今日のテーマは今までWASFが扱ってこなかったユーザー・クライアント側のセキュリティのうち、ID・パスワード系の話が今回のテーマ。 #wasf
[t] 2010-05-22 14:53:35
|
RT @higetomo: テーマがブラックというか苦笑というか。でも、たぶんお勧め。 WASForum Conference 2010 :ウェブサイトの「ユーザ」と「ID」にかかわる成功事例と都市伝説。 http://wasforum.jp/ #wasf
[t] 2010-05-22 14:54:02
|
WASForumとは | Web Application Security Forum - WASForum http://wasforum.jp/
[t] 2010-05-22 14:56:01
|
国民のためのウェブサイトを運営するID認証の舞台裏 (Yahoo! Japan),ケータイ2.0が開けてしまったパンドラの箱,OAuthとWEBサイト運営のエコシステムに潜む罠,“Web2.0”におけるセキュリティ http://wasforum.jp/conf2010/
[t] 2010-05-22 14:57:52
|