アカウント名:
パスワード:
関連ストーリーのドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 [srad.jp]とキャリアが違うだけの同じ話に見えますが、違うかなそうすると対処法も一緒?
さらに、一部の機種では、setRequestHeaderメソッドによりHostフィールドを書き換え可能なものがあり、この場合は、従来推奨していた「Hostフィールドのチェック」によるアプリケーション側での対策がとれないことがわかった。
この部分ですか。これでは防ぎようがないですね。
ガラケーでは通信を行うと自動でユーザーIDが添付されますから、攻撃者の勝手サイトに設置したJavaScriptからなんとかして公式サイトにアクセスさせるだけで、アクセスした公式サイトへのログインが完了してしまいます。で、その結果を攻撃者のサイトに転送するなり何なりすれば個人情報げっちゅ。ウハウハ。で、その「なんとかして別サーバーにアクセスさせる」ために「DNSリバインディング」を使うことができる。ここまでドコモと一緒。
で、ドコモの場合は、ヘッダのHOSTを書き換えることができないので、そこをチェックすればサーバー側で止められたのですが、ソフトバンクの場合には、ヘッダのHOSTすらもJavaScript側で書き換え可能なので、サーバー側で判定することはできないらしい。対策は端末でスクリプトをOFF。
通信するだけでログイン完了ってのは実に恐ろしいですね・・・。
公式でも対応策が公開されました.まあ、JavaScriptをオフにしてくれと。http://mb.softbank.jp/mb/information/details/100527.html [softbank.jp]
半年前に知っていたらしいんで、今まではソフトウェアアップデートで修正しようと頑張っていたけど、アップデートの準備が整う前に脆弱性を公開されちゃった、という感じでしょうか。
まあソフトバンクだし。
うーん。こういう業界なればこそいろいろな情報が集まるわけだからメリットとデメリットを秤にかけたりして取捨選択できるんだと思うけどな。
# 正直、家の鍵の脆弱性に比べれば# お財布携帯の脆弱性なんて無いようなもんですよ
取捨選択した結果、「全部信用ならん」となったんじゃないかな…。この手の仕事してれば、ハードもソフトも結構イイカゲンなのは目にしますし。
それなのにIDとってスラドに書き込むなんて何やってんですか
元コメのヒトにとっては無線機器は全部一緒なんですよ。
そもそもかんたんログインみたいな方法を公開ネットワーク上で使うこと自体リスクがあると思いますが、それはそれとしてソフトバンクには対応願いたいところ。むしろcookieに対応してない端末がまだかなり多いドコモは大丈夫かしら。http://takagi-hiromitsu.jp/diary/20100520.html#p01 [takagi-hiromitsu.jp]
ソフトバンク端末はほとんどすべてがCookieをサポートしてる [milkstand.net]んだから、いっそソフトバンク端末ではかんたんログイン対応をやめてしまうのが手っ取り早い。具体的には「IPアドレス帯域」からソフトバンクの範囲を外して、PCと同様にセッション管理する。
そんなことをせずとも、きちんとバーチャルホストの設定をして、予期しているホスト名を使用してのアクセス以外を弾いてしまえば、DNS Rebindingの影響は受けないのでは?そうすれば機能的に損なう物もないですし。
括弧内の条件は
タレコミにコレも書いてくれないと。
とどう関係してるんだ?
がんばって誤読させようとしているのは分かるけど、もう少し上手く書こうね
#1769778 の理解は正しいと思うんだけど、どう違うの?
> そんなことをせずとも、きちんとバーチャルホストの設定をして、バーチャルホストの設定は「かんたんログイン」とやらの設計そのものの根本的な欠陥を回避するためにやむなく行うことで、設定していないからと言って「きちんと」していないのではない。「かんたんログイン」などさっさと捨ててしまうことこそ「きちんと」した対応。> 予期しているホスト名を使用してのアクセス以外を弾いてしまえば、DNS Rebindingの影響は受けないのでは?そもそもDNS Rebindingの影響を受けないとしても安全性など保証されていないけど、それ以前に今回のソフトバンクの件ではsetRequestHeaderでHostを書き換え可能な機種が存在するので明らかに安全ではない。せめてリンク先のアドバイザリくらい読んでから物言ったら?> そうすれば機能的に損なう物もないですし。別に端末IDがないと機能を維持できないわけではない。
端末の閉鎖性を当て込んで作ったような仕組みはやだなあ(棒
脆弱性があれば危ないのはPCだって全くおんなじではあります。
が、ガラケーサイトの場合「ケータイキャリアのゲートウェイ経由の通信は全面的に信用する」というセキュリティ方針で開発されているので、実のところキャリア側にかかっている負担はかなりのものなのではないかと。海外進出の妨げにもなっているはず。今後端末機能を強化していく時に常に癌となりそうな仕様です。
例えば、AU の Wi-Fi WIN では、無線LAN経由でガラケーサイトに接続することができるのですが、これは無線LANで直接ガラケーサイトにアクセスしているのではなくて、通信を暗号化した上でわざわざ AU の ゲートウェイ を経由しているらしいです。なので、AUの設備的には通信量が増える一方なので、無線LANなのに月額料金を取るハメになっています。
ちなみに ソフトバンク の ケータイWi-Fi の場合にはガラケーサイトには接続できません。
こんな感じで、既に、かんたんログインを死守するために、 ・ソフトバンクはせっかくの新機能なのにケータイサイトへのアクセスを提供できない ・AUはせっかくの新機能なのに月額料金をとらないとならないという歪みがでてしまっています。
長くなりましたが、要は、かんたんログインの問題点というのは、キャリアの対応がしっかりしている限りはセキュリティの問題はさほど心配ないのですが、逆に言えばキャリアに掛かっている負担はかなりのものであると同時に、今後の機能拡張は困難を極めると予想されます。
誤解を招く可能性がある書き方だったので補足。ソフトバンクのケータイでも無線LANを使うには別料金いります。
>要するにガラケーは危ないってことですね。
開発者の命がですね、分かります。#これでまた、どこかの部署でデスマが発生するんだろうなあ。
フレームの元じゃなくて荒らしだろ思いこみによる単なる誹謗中傷でしかない
え? 懸念が挙がっていたものが、現実になったということでは?具体的手段が違うとはいえ、根本原因となっているのはガラバゴス化したケータイサイト業界が個人識別番号に頼った認証方法にあるので、付け焼き刃の対策したところでいずれボロが出るということです。ソフトバンクということであれば、 98.7%はcookieが使える端末 [takagi-hiromitsu.jp]だそうで、PC同様のセッション管理すれば?って話。
ソフトバンクということであれば、 98.7%はcookieが使える端末だそうで、PC同様のセッション管理すれば?って話。
使える端末は 100% じゃないですかね。1.3% の人がオフに設定してるってだけで。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
関連ストーリーと一緒の内容ですよね (スコア:2)
関連ストーリーのドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 [srad.jp]とキャリアが違うだけの同じ話に見えますが、違うかな
そうすると対処法も一緒?
Re:関連ストーリーと一緒の内容ですよね (スコア:2, 参考になる)
Re:関連ストーリーと一緒の内容ですよね (スコア:3, 参考になる)
この部分ですか。
これでは防ぎようがないですね。
Re:関連ストーリーと一緒の内容ですよね (スコア:3, 興味深い)
ガラケーでは通信を行うと自動でユーザーIDが添付されますから、
攻撃者の勝手サイトに設置したJavaScriptからなんとかして公式サイトにアクセスさせるだけで、
アクセスした公式サイトへのログインが完了してしまいます。
で、その結果を攻撃者のサイトに転送するなり何なりすれば個人情報げっちゅ。ウハウハ。
で、その「なんとかして別サーバーにアクセスさせる」ために「DNSリバインディング」を使うことができる。
ここまでドコモと一緒。
で、ドコモの場合は、ヘッダのHOSTを書き換えることができないので、そこをチェックすればサーバー側で止められたのですが、
ソフトバンクの場合には、ヘッダのHOSTすらもJavaScript側で書き換え可能なので、サーバー側で判定することはできないらしい。
対策は端末でスクリプトをOFF。
通信するだけでログイン完了ってのは実に恐ろしいですね・・・。
公式で対応策が発表されました (スコア:2)
公式でも対応策が公開されました.
まあ、JavaScriptをオフにしてくれと。
http://mb.softbank.jp/mb/information/details/100527.html [softbank.jp]
半年前に知っていたらしいんで、今まではソフトウェアアップデートで修正しようと頑張っていたけど、
アップデートの準備が整う前に脆弱性を公開されちゃった、という感じでしょうか。
Re: (スコア:0)
Re: (スコア:0)
まあソフトバンクだし。
なんといいますか (スコア:1, オフトピック)
信用ならず今でも使用していません・・・。
銀行などもインターネットからいろいろ出来るようですが、そういうのも信用できず、
使ってなかったり・・・。
こういう業界(IT系)にいながら、逆に時代に取り残されているか感が私はあります(苦笑)。
Re: (スコア:0)
うーん。こういう業界なればこそ
いろいろな情報が集まるわけだから
メリットとデメリットを秤にかけたりして
取捨選択できるんだと思うけどな。
# 正直、家の鍵の脆弱性に比べれば
# お財布携帯の脆弱性なんて無いようなもんですよ
Re: (スコア:0)
取捨選択した結果、「全部信用ならん」となったんじゃないかな…。
この手の仕事してれば、ハードもソフトも結構イイカゲンなのは目にしますし。
Re: (スコア:0)
それなのにIDとってスラドに書き込むなんて
何やってんですか
Re: (スコア:0)
Re:なんといいますか (スコア:2)
携帯電話には電話とメールしか期待していない私からしてみたら、
それ以外の機能で、外部とデータの送受信を行い、何かしようというようなものは全部同じようなものです。
Re:なんといいますか (スコア:2)
バグがあるだろうプログラム(携帯電話)を使って動いているものたいして、
サービス(個々の機能)単位で見てもバグがあるだろうと思われる機能を使って、
個人情報や金銭のやりとりは行いたくないというのが本音です。
ただ、それをやらなくては仕事や生活に支障が出るというのでしたら、
使用しますが、そうでないのなら、使う事はないでしょうね。
Re: (スコア:0)
元コメのヒトにとっては無線機器は全部一緒なんですよ。
ソフトバンク携帯だけかな? (スコア:0)
そもそもかんたんログインみたいな方法を公開ネットワーク上で使うこと自体
リスクがあると思いますが、それはそれとしてソフトバンクには対応願いたいところ。
むしろcookieに対応してない端末がまだかなり多いドコモは大丈夫かしら。
http://takagi-hiromitsu.jp/diary/20100520.html#p01 [takagi-hiromitsu.jp]
サイト側の対策 (スコア:0)
ソフトバンク端末はほとんどすべてがCookieをサポートしてる [milkstand.net]んだから、いっそソフトバンク端末ではかんたんログイン対応をやめてしまうのが手っ取り早い。具体的には「IPアドレス帯域」からソフトバンクの範囲を外して、PCと同様にセッション管理する。
Re:サイト側の対策 (スコア:1)
そんなことをせずとも、きちんとバーチャルホストの設定をして、予期しているホスト名を使用してのアクセス以外を弾いてしまえば、DNS Rebindingの影響は受けないのでは?
そうすれば機能的に損なう物もないですし。
Re:サイト側の対策 (スコア:4, 参考になる)
PCブラウザ、iモードブラウザではHostヘッダの上書きはできません。
Re: (スコア:0)
タレコミにコレも書いてくれないと。
Re: (スコア:0)
Re: (スコア:0)
括弧内の条件は
とどう関係してるんだ?
Re: (スコア:0)
意訳:DND rebinding に関係なく、Host: の書き換え自体が危険
→ Host: 書き換えの危険性って何ですか?
Re: (スコア:0)
がんばって誤読させようとしているのは分かるけど、もう少し上手く書こうね
Re: (スコア:0)
#1769778 の理解は正しいと思うんだけど、どう違うの?
Re:サイト側の対策 (スコア:2, 参考になる)
> そんなことをせずとも、きちんとバーチャルホストの設定をして、
バーチャルホストの設定は「かんたんログイン」とやらの設計そのものの根本的な欠陥を回避するためにやむなく行うことで、設定していないからと言って「きちんと」していないのではない。
「かんたんログイン」などさっさと捨ててしまうことこそ「きちんと」した対応。
> 予期しているホスト名を使用してのアクセス以外を弾いてしまえば、DNS Rebindingの影響は受けないのでは?
そもそもDNS Rebindingの影響を受けないとしても安全性など保証されていないけど、それ以前に今回のソフトバンクの件ではsetRequestHeaderでHostを書き換え可能な機種が存在するので明らかに安全ではない。せめてリンク先のアドバイザリくらい読んでから物言ったら?
> そうすれば機能的に損なう物もないですし。
別に端末IDがないと機能を維持できないわけではない。
Re: (スコア:0)
要するに (スコア:0)
#絶対フレームの元なのでACで
Re:要するに (スコア:2)
端末の閉鎖性を当て込んで作ったような仕組みはやだなあ(棒
Re:要するに (スコア:2)
脆弱性があれば危ないのはPCだって全くおんなじではあります。
が、ガラケーサイトの場合「ケータイキャリアのゲートウェイ経由の通信は全面的に信用する」というセキュリティ方針で開発されているので、
実のところキャリア側にかかっている負担はかなりのものなのではないかと。海外進出の妨げにもなっているはず。
今後端末機能を強化していく時に常に癌となりそうな仕様です。
例えば、AU の Wi-Fi WIN では、無線LAN経由でガラケーサイトに接続することができるのですが、
これは無線LANで直接ガラケーサイトにアクセスしているのではなくて、
通信を暗号化した上でわざわざ AU の ゲートウェイ を経由しているらしいです。
なので、AUの設備的には通信量が増える一方なので、無線LANなのに月額料金を取るハメになっています。
ちなみに ソフトバンク の ケータイWi-Fi の場合にはガラケーサイトには接続できません。
こんな感じで、既に、かんたんログインを死守するために、
・ソフトバンクはせっかくの新機能なのにケータイサイトへのアクセスを提供できない
・AUはせっかくの新機能なのに月額料金をとらないとならない
という歪みがでてしまっています。
長くなりましたが、要は、かんたんログインの問題点というのは、
キャリアの対応がしっかりしている限りはセキュリティの問題はさほど心配ないのですが、
逆に言えばキャリアに掛かっている負担はかなりのものであると同時に、
今後の機能拡張は困難を極めると予想されます。
Re:要するに (スコア:2)
誤解を招く可能性がある書き方だったので補足。
ソフトバンクのケータイでも無線LANを使うには別料金いります。
今日もどこかで死の行進(Re:要するに) (スコア:0)
>要するにガラケーは危ないってことですね。
開発者の命がですね、分かります。
#これでまた、どこかの部署でデスマが発生するんだろうなあ。
Re: (スコア:0)
フレームの元じゃなくて荒らしだろ
思いこみによる単なる誹謗中傷でしかない
Re: (スコア:0)
え? 懸念が挙がっていたものが、現実になったということでは?
具体的手段が違うとはいえ、根本原因となっているのはガラバゴス化したケータイサイト業界が
個人識別番号に頼った認証方法にあるので、付け焼き刃の対策したところでいずれボロが出るということです。
ソフトバンクということであれば、 98.7%はcookieが使える端末 [takagi-hiromitsu.jp]だそうで、PC同様のセッション管理すれば?って話。
Re: (スコア:0)
使える端末は 100% じゃないですかね。1.3% の人がオフに設定してるってだけで。