アカウント名:
パスワード:
携帯キャリアのIPアドレスにアクセス制限するとかよくいいますが、少なくともSSLサイトだと駄目ですね。高木浩光氏が サブスクライバーIDをパスワード代わりに使うべきでない理由 [takagi-hiromitsu.jp] というのを言っています。要点だけ言うとこの図 [takagi-hiromitsu.jp]ですね。SSLが必要になるような回線でつないでいるなら、間に入って送信できちゃうと。SSLはこういうのの防止にあるわけで。
そもそもSSL通信時は、iモードIDは付与できません。
softbankもSSL通信時はsecure.softbank.ne.jpを経由しないとx-jphone-uidは送信されません。
ゲートウェイで付加する方式だからSSLだと途中でヘッダを書き換えれないと。結果的に、上で指摘されている脆弱性を作り込んでしまうサイトは現れないわけですね。
うーん、それはそれで嫌な仕様だなあ。
iモード方式では、他人の uid を URL に入れてアクセスしようとしても、ゲートウェイが正しい id に置き換えることによって詐称が防止されています。SSL だとそれができないので、iモードID を使っている URL に SSL でのアクセスを許してしまうと、他人の id 詐称やり放題、ってことになります。
http://XXXX/ZZZZ でアクセスできるページに、https://XXXX/ZZZZ でもアクセスできることって結構あります。通常はそれで問題ないので、うっかりそのままにしちゃうサイトがありそうじゃないですか。
iモードID を使っている URL に SSL でのアクセスを許してしまうと、他人の id 詐称やり放題、ってことになります。
で、今回の新しい「iモードID」はリクエストヘッダに付ける方式なので、携帯電話でヘッダを自分で付けて送信することは不可能ということでその脆弱性は生じないという理解であっていますか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
銀行とかSSLサイトでは使ってはいけない技術 (スコア:1, 興味深い)
携帯キャリアのIPアドレスにアクセス制限するとかよくいいますが、少なくともSSLサイトだと駄目ですね。高木浩光氏が サブスクライバーIDをパスワード代わりに使うべきでない理由 [takagi-hiromitsu.jp] というのを言っています。要点だけ言うとこの図 [takagi-hiromitsu.jp]ですね。SSLが必要になるような回線でつないでいるなら、間に入って送信できちゃうと。SSLはこういうのの防止にあるわけで。
Re:銀行とかSSLサイトでは使ってはいけない技術 (スコア:2, 興味深い)
ちなみにsoftbankもSSL通信時はsecure.softbank.ne.jpを経由しないとx-jphone-uidは送信されません。
Re: (スコア:0)
Re: (スコア:0)
うーん、それはそれで嫌な仕様だなあ。
iモード方式では、他人の uid を URL に入れてアクセスしようとしても、ゲートウェイが正しい id に置き換えることによって詐称が防止されています。SSL だとそれができないので、iモードID を使っている URL に SSL でのアクセスを許してしまうと、他人の id 詐称やり放題、ってことになります。
http://XXXX/ZZZZ でアクセスできるページに、https://XXXX/ZZZZ でもアクセスできることって結構あります。通常はそれで問題ないので、うっかりそのままにしちゃうサイトがありそうじゃないですか。
Re: (スコア:0)
事例があったらぜひIPAに届け出を。
不正アクセスにならないテスト方法としては自分のIDでアクセスしてみればよいのではないかと。
で、今回の新しい「iモードID」はリクエストヘッダに付ける方式なので、携帯電話でヘッダを自分で付けて送信することは不可能ということでその脆弱性は生じないという理解であっていますか?
Re: (スコア:0)
TCP接続を成功させる必要があるわけで、それって結構難しいんでは無いだろうか。
# そもそもSIMカードに証明書でも何でも入れればいいじゃんとは思うが。
Re:銀行とかSSLサイトでは使ってはいけない技術 (スコア:1)
コンテンツ側がほとんど使ってくれないという……(苦笑)
# おいらも一応証明書だけはもらったけど、一回も使ったこと無い
ドコモ端末のSSL証明書によるクライアント認証機能 (スコア:1)
ちゃんと運用している上にこのサービス自体は無料で提供してくれるという太っ腹ぶりな割には全然使われてないですよねえ。
結構いけてると思うんだけどなあ。
Re: (スコア:0)
こんな怪しげなドメイン名のサイトをどう信用せよと・・・
Re: (スコア:0)
電話とキャリアまでは元々暗号化されているわけで。
Re:銀行とかSSLサイトでは使ってはいけない技術 (スコア:1)
電話とサーバー間が暗号化される必要があるのではないでしょうか?
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
そのサーバからDoCoMoのIPアドレス宛のパケットが必ず通るところなら可能。
そんな場所があるのかというのは存じませんが。