ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る

WEB & NETWORK SSL/TLSより引用 わざわざSSLの場合にもゲートウェイを割り込ませている目的としては、ケータイID（UID）を付与することと、絵文字の変換があるようです。 ※注意:EZwebにもゲートウェイ型のSSLがあります（仕様）がProxyサーバーのホスト名が見えているわけではないので、今回報告するような問題はありません。 ゲートウェイ型SSLの問題点 ゲートウェイ型SSLが廃止されるきっかけは、高木浩光氏と、ソフトバンクモバイル取締役専務執行役員CTOの宮川潤一氏のtwitter上のやりとりであると言われています。この内容は、Togetterにまとめられています。これを読むと、ゲートウェイ方式のSSLでは、httpとhttpsでドメインが異なるため、Cookieを引き継ぐことができないことが問題として説明されています。現場のニーズとしてこの問題は大きいと思うのです

[aiueo010101]

今泣きながらこれの対策してる。

[kokogiko]

『Webの基本的な仕組みは、ブラウザやアプリケーションに脆弱性がなければ安全になるように仕様が決められていますが、その仕様を少しでも変更すると、上記のような超弩級の脆弱性が入り込む可能性がある』

[MinazukiBakera]

徳丸さんの日記も公開。おつかれさまでした & ありがとうございました。

[mi1kman]

グッダグダで妙な仕様たちが問題の種となり、さらには問題の解決を遅らせる

[nrtm]

@Umic_Y_ANG これの話？

[paschen00]

ガラケーのJSとSSLゲートウェイ

[houyhnhm]

ケータイのセキュリティ怖いなあ。／自分はauなんだけども、auにもきっと穴があるはず

[mapserver2007]

丁寧にまとめられていて大変参考になる。

[mahbo]

Cookieの取扱いに脆弱性を含んでいたという解説

[rgfx]

お疲れ様です。「隠すことによるセキュリティ」の肩を持っても、いい事なんてほんと無いよね。

[Cald]

これは怖いなー

[raimon49]

ソフトバンクの非公式JavaScript対応機に搭載されたブラウザがノーガード状態だった。

[kabiy]

徳丸浩の日記: ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る

[airj12]

こっちのが丁寧

[kaito834]

2011年6月30日、ソフトバンクのゲートウェイ型SSL(secure.softbank.ne.jp)が廃止となった。このゲートウェイ型SSLには同一生成元ポリシー（Same Origin Policy）に関わる脆弱性があったとのこと。http://takagi-hiromitsu.jp/diary/20110630.html#p01

[ulonglong]

[

[takeodon]

こわっ

[efcl]

ゲートウェイ型SSLのsame originポリシーの問題。

[kogawam]

自分自身携帯Webには全然コミットしてないものの、理解してなかったなあと悔しい。でも面白い！

[kamei_rio]

「ドメインを超えたコンテンツをJavaScriptでアクセスできた訳ですから、同一生成元ポリシー(Same Origin Policy)が破れた状態です」

[soto194]

"SSLを利用可能な全てのアプリケーションにクロスサイト・スクリプティング(XSS)脆弱性があるのと同等の影響"

[meets623]

徳丸浩の日記: ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る

[ShiroKappa]

分かり易い具体的な説明。

[ockeghem]

日記書いた（ブログ移転しています）