matsutakegohan1's blog

matsutakegohan1(きゅーぞう)による、釣り、狩猟、技術?、セキュリティ?、その他の話

未分類

WASForum 2010

投稿日:

とりあえずのメモをコピペ。
ケータ2.0が開けてしまったパンドラの箱
   * かんたんログインの話
   * twitterはかんたんログインの紐付けを複数つけられる、珍しい。
   * かんたんログインの条件
      * ケータイ網が閉じたネットワークであること
      * ケータイ端末の機能が低く、HTTPヘッダを書き換えることができないこと
   * 携帯電話のデザリングを行った場合上記の制限が破られる可能性がある。
   * それは置いといて
   * HTTPヘッダを書き換えれないかという挑戦
      * iモードブラウザ2.0の登場。JSを実装した。
      * cookie、refferに対応して各種ログインの簡略化、というのもあった。
   * なぜ、iモードブラウザ2.0が停止したのか
      * setRequestHeaderが実装されていたようだ。
      * マニュアルから上記が消えていた。
   * mpw.jp 2009年11月189html
      * iモード専用サイトのhtmlソースの閲覧方法
      * 手法としてはDNSリバインディング。
         * 短時間でDNSの返すIPを変更する、キャッシュ時間1secとかに設定する。
      * 去年の11月の話の報告をもう一度って感じですね
   * DNSリバインディング対策はケータイ事業者側ではない
      * ゲートウェイはマルチユーザーが対象なので、文脈を意識したPinningは不可能で、いつかはIPアドレスを書き換えねばならない
      * Browserは名前解決をしていない、解決をしているのはゲートウェイ
      * ゲートウェイでDNSを一時間キャッシュしたらいいんじゃないか?
         * 結局切り替えタイミングで攻撃されるので、機会が減るだけでしかない
      * 適当なサイトを用意してドコモのDNSをたたくと6秒という単位でも頻繁にIPが変わる。
         * おそらくDNSはキャッシュされていない。
         * あるいは一分程度のキャッシュをしているように見える
      * webサイト側の対策はhostヘッダをチェックすること
   * ソフトバンクでJS携帯を販売する。6月から。
      * かなり以前から実はJS対応しています。
      * 2004年ノキア携帯で初めての対応 XMLHttpRequestには対応してない
      * 2006年 804SSなど iframeに対応
      * 922SHでXMLHttprequestサポート!setRequestHeaderのサポートをしてる。
   * setRequestHeaderはどのヘッダを改変しても良いのか?
      * hostはだめ
      * ソフトバンクの携帯はhostヘッダが改変できた。
      * 報告をしたところ5分キャッシュに変更された。
      * 部分的にはまだ5分キャッシュに切り替わってないサーバーもあった
      * この件は半年前に通知して一切アナウンスされてないので公表した。
      * 4機種現行機種で問題がある。写真撮った
         * それぞれのajaxの実装にブレがある
         * ソフトバンクの端末は統制がとれてない印象
         * メーカー間の情報共有もされてない
         * シャープは新機能に貪欲だが同時に慎重、ajaxはdefaultオフ
      * 幸い4機種のシェアは高くない
   * Browser開発者の責任はどうか
      * netfrontは国内シェアの8割とのこと
      * Access社にも責任をもってアップデートの仕組みを作って欲しい
   * ソフトバンク端末の対策はあるか?
      * ない
      * お客様にセキュリティ設定を促す、Ajaxを禁止する
      * Ajaxをオフに出来ない機種はスクリプトを無効にする
      * チェックサイトはハッシュコンサルティングのサイトで用意する
      * ソフトバンク端末ではかんたんログインを無効にする。
         * あれ、でもDNS書き換えられたらcookie認証でもダメじゃね?
   * apacheの仕様のはなし
      * -を_にすると突破される話
      * sslでかんたんログインは受け付けてはいけない
   * 追加ルール
      * hostヘッダの確認
      * ソフトバンク携帯はAjaxの規制、あるいはスクリプトの禁止
      * SSLではかんたんログインしない
      * etc
   * 次々に見つかる脆弱性、それでもまだかんたんログインを使いますか?
   * ケータイSecurityをオープンに議論出来る場の必要性
ひろみちゅー
   * あれ、面白くないぞ、blogの焼き直し
   * EMNetは誰の脆弱性?
      * EMnetのProxyサーバーの挙動は、自社のヘッダが入っていたらそれを削除して新しいのをふる(改ざん防止)
      * 他社のものはそのまま。
         * しかし他社のヘッダ情報までEMnetが責任をもつべきだろうか?
         * X-を全部削除するとか?
      * webサイトの脆弱性というしかない
   * かんたんログイン、公式の説明は一切ないが素人のひどい解説が蔓延している
      * 例題のサイトでは検索botのアドレスやe-mobileも含まれていた、携帯ネットワークIPのリストページでだ
   * SBにも同様の問題点がある。
      * 海外端末向けAPNとProxyを経由することで、端末シリアル番号を改ざんすることが可能
      * X-Jphone-UIDについてはEmobileと同様の仕様

-未分類

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

おっぎー

PHP Design Patterns (Deutsche Ausgabe) Stephan Schmidt 明日ちら見頼む。 唐突に引用小野和俊のブログ:デザインパターンというものはhttp://b …

no image

何ができたのか?

うーん。この2年でワタクシは何をしたのかしら。 phpを取得した。phpやmysql、自分にとって新しい技術の取得を行った。幾つかの本を読み、phpはなめる程度にはソースを読み。いい加減な言語だと思い …

no image

初めてのテストケース

Test::Simple、アラヤダほんとにシンプル。 パッケージのコード   1 #!/usr/local/bin/perl  2   3 # Class Stru …

no image

私にも敵が見える

戦場の絆というゲームについてのエントリ。 しばらく伸び悩んでいたけれどようやく一つの壁を突き抜けた感覚。近距離と格闘ならそこそこ戦えそう。格闘は夢中になってしまうと、さすがにレーダーから目が離れてしま …

no image

ピノ・シャルドネ・スプマンテ

香り:メルシャン? 基本的に僕は鼻が利かない。味 :まともに辛口。   基本ご飯と一緒にいただくにはよい感じ。   飲んだ後の余韻としての香りがややケミカル。   そこだけだけがどうしても気になる。  …

第一精工の高速リサイクラーはすべての釣り人の必需品だと思っています。糸の巻き替え、巻き直しにこれが在るのと無いのでは天地の差があります!

シマノの防水クッションは、すべての時期で船釣りのオトモ。一番小さいサイズで大抵大丈夫です。冷えから守ってくれたり、エンジンの振動から守ってくれたり、寝るときに枕になります。

%d人のブロガーが「いいね」をつけました。