KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された
au/KDDIの2011年秋冬モデル(現時点ではF001のみ)にてEZwebとPCサイトビューア(以下PCSV)のゲートウェイが統合されたことに伴い、かんたんログインを実装しているサイトに対して、F001のPCSVからJavaScriptを用いた「なりすまし」攻撃ができる状態でした。この問題をKDDIに通報したところ、直ちに対策が取られ、現在は安全な状態です。以下、詳しく報告します。 目次概要 経緯 何が問題か 経緯説明(1)基本的なチェックは対処済みだった 経緯説明(2)ハイフンをアンダースコアに変えるトリックは対策済み 経緯説明(3)海老原氏が発見したトリックとは 経緯説明(4)KDDIに連絡→翌日に対処 実証例 外部からJavaScriptを実行できる条件 影響を受けるサイトの条件 影響 対策 今回の問題は、端末あるいはau設備の脆弱性なのか まとめ 概要以前、「EZwebの2011
ソフトバンクの非公式JavaScript対応の調査結果
ソフトバンクのYahoo!ケータイブラウザは、2010年春モデルまで非公式のJavaScript対応機種がありました。2010年5月に、私的にその対応状況を調査した結果を公表します。 これは、「Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題」を公表するにあたり、影響のある端末を調べるために、端末実機の検証センターにて抜き取り検査した結果です。 考察JavaScriptが最初に搭載されたのは、2004冬の702NKらしい。以降、ノキア端末にはJavaScriptが搭載される。この時期のJavaScriptは簡易的なもの。 2006年冬モデルから多くのモデルでJavaScriptが搭載される。この時期の端末は、DOMは対応しているが、XMLHttpRequestは対応していない。 2008年春モデルから一部の機種でXMLHttpRequestをサポートする。 シャープ
ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る
WEB & NETWORK SSL/TLSより引用 わざわざSSLの場合にもゲートウェイを割り込ませている目的としては、ケータイID(UID)を付与することと、絵文字の変換があるようです。 ※注意:EZwebにもゲートウェイ型のSSLがあります(仕様)がProxyサーバーのホスト名が見えているわけではないので、今回報告するような問題はありません。 ゲートウェイ型SSLの問題点 ゲートウェイ型SSLが廃止されるきっかけは、高木浩光氏と、ソフトバンクモバイル取締役専務執行役員CTOの宮川潤一氏のtwitter上のやりとりであると言われています。この内容は、Togetterにまとめられています。これを読むと、ゲートウェイ方式のSSLでは、httpとhttpsでドメインが異なるため、Cookieを引き継ぐことができないことが問題として説明されています。現場のニーズとしてこの問題は大きいと思うのです
auのEZWebがそろそろ終了しそうな件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 先日auからEZWebに関わる以下のようなアナウンスがなされた。 KDDI au: EZfactory EZブラウザは、2011年秋冬モデルにて、EZサーバを含め、「機能」及び「ネットワーク環境」の見直しを行ないます。 これによる主な変更点は以下のとおりです。 <主な変更点> ・EZサーバの言語変換機能が削除され、HDMLが非サポートとなる。 ・EZブラウザ、PCサイトビューアーのIPアドレス帯域が統一される。 他にもCookie仕様の変更などがあるのだが注目すべきは、「EZブラウザとPCサイ
NTTドコモの「Xperia acro SO-02C “Azusa”」の端末画像がリーク、3色ラインアップか(更新) | juggly.cn
2023年12月 (1) 2023年11月 (116) 2023年10月 (79) 2023年9月 (28) 2023年8月 (7) 2023年7月 (6) 2023年6月 (101) 2023年5月 (229) 2023年4月 (201) 2023年3月 (206) 2023年2月 (147) 2023年1月 (193) 2022年12月 (146) 2022年11月 (54) 2022年10月 (1) 2022年9月 (1) 2022年8月 (1) 2022年7月 (3) 2022年6月 (1) 2021年9月 (1) 2021年8月 (8) 2021年6月 (3) 2021年4月 (4) 2021年3月 (6) 2021年2月 (1) 2021年1月 (3) 2020年12月 (2) 2020年11月 (2) 2020年10月 (5) 2020年9月 (12) 2020年8月 (40
世界携帯電話市場に異変、首位ノキアのシェア激減 原因は中国ノーブランド製品の台頭 | JBpress (ジェイビープレス)
アンドロイドは前の四半期に初めて米アップルの「アイフォーン(iPhone)」を抜いて3位になったが、この7~9月期はついに2位に上昇。1年前にわずか3.5%、前四半期に17.2%だったシェアは25.5%にまで拡大した。 アイフォーンも好調だ。同時期の販売台数は1348万台で、前四半期から54%増加している。シェアは14.2%から16.7%に拡大、順位は4位から3位に上昇した。 こうしたアンドロイドとアイフォーンの躍進を背景に世界の携帯電話市場には異変が起きているようだ。 例えば、フィンランド・ノキアが多くを販売する「シンビアン(Symbian)」端末は依然世界市場でトップを維持してるものの、そのシェアは1年前の44.6%、前四半期の41.2%から36.6%へと下がり、ついに4割を割り込むまでに落ち込んだ。前四半期に比べた出荷台数の伸び率も16%にとどまり、アンドロイドやアイフォーンのそれを
永久保存版!?携帯コーディング、これだけ読めばすぐできる! | KAYAC
マークアップエンジニア(以下、ME)のtacamyです!(`・ω・´) カヤックでは、デザイナーもHTMLコーディングをしてくれています。 (いつもありがとうございます!) そんなワケで、本格的にHTMLコーディングはしないけど、 ちょこっとしたページなら組みますっていうデザイナー向けの、 「コレだけ読めばすぐできる」シリーズを始めました。 第一回は「携帯コーディング」についてです。 携帯はPCとは全くの別物なので、なんとなく敬遠しがちですが、 最低限の内容であれば覚えることも少ないですし、 一度覚えてしまえばスタンダードがしばらく変わらないので、覚えておいて損はないですよ! 携帯コーディングの基本 基礎の基礎 文字コードはShift-JIS CSSはインラインで指定(タグに直接style属性を追加する) 画像を含むページ容量100KB以内(HTML自体の容量は9KB以内) 画像はgifか
みんなガラケー市場の怖さを知らない:村上福之の「ネットとケータイと俺様」:オルタナティブ・ブログ
ソースは総務省→ココです。2009年で1兆5206億円市場だそうだ。 去年より2000億円近く伸びている。今の日本経済から考えてると伸びている方だと思う。 内訳:1位は「着うた」だ。ただこれはもう伸びないし利益率も低い。伸び率最高は、予想通りアバターとアイテム課金。生活情報も伸びている。生理日をメールで通知する月額数百円のサイトがいっぱいあるがそういうのかもしれない。 今見たら「会員が180万人を突破」しているので、ウソじゃなければ月収3億4千万円、年間40億円くらいと思われる。たぶん、今iPhoneアプリで年間40億円稼ぐのは限りなく不可能に近いと思う。 「ガラケービジネスはもうだめだね。これからはiPhoneコンテンツさ!」といっている人は国内1億台のガラケーと1.5兆円の市場がすぐなくなると思っているんだろうか。そして、すでに20万個登録されてるアプリとケンカして勝てると思っているん
NFCケータイはFeliCaを揺るがすか 「スマートポスター」の実験が日本で始動
NFCケータイはFeliCaを揺るがすか 「スマートポスター」の実験が日本で始動:突撃! ユビキタス空間(1/3 ページ) 近距離無線通信規格「NFC」に対応した携帯電話の実証実験が日本でも本格的に始動した。おサイフケータイによるライフスタイルが浸透しつつある日本において、世界標準の規格を搭載した「NFCケータイ」は普及するのか。日本企業は手探り状態だ。 電子マネーを使ってコンビニで買い物をしたり、量販店で購入した商品のポイントをためたり、交通機関の乗車券として使ったり――非接触ICカード技術「FeliCa」を搭載した「おサイフケータイ」を使ったライフスタイルは日本で定着しつつある。 一方、海外を中心に注目が集まっている国際規格に「NFC」(Near Field Communication=近距離無線通信)がある。これは日本やアジアで普及しているFeliCaと、欧米を中心に展開が進んでいる
「無料で遊べる」携帯ゲーム高額請求相次ぐ : 社会 : YOMIURI ONLINE(読売新聞)
「無料で遊べる」とうたう大手携帯ゲームサイトから高額な情報料を請求され、トラブルになるケースが相次いでいる。 5歳の子どもが親の携帯電話で遊ぶうち、10万円もの高額アイテムを購入してしまった事例も。親は電話料金に上乗せされた請求を見て初めて気付くことが多いという。国民生活センターは携帯電話会社などに対し、高額請求の場合は一時的に請求を止めて調べるなどの改善策を求めた。 山形県内の主婦(37)が、ソフトバンクモバイルからの請求金額が急増したことに気づいたのは今年5月。明細には「情報コンテンツ料 4万5150円」とある。小学3年生の長男(9)に聞くと、大手サイト「グリー」で自分の分身(アバター)を飾るアイテムを買っていたという。 ゲームは原則無料だが、アバターを飾ったり、ゲームを有利に進めたりするための特別アイテムは有料で、1点5250円するものもある。テレビコマーシャルでは「無料で遊び放題」
DellのAndroidケータイが意味するもの
CNet/WSJにも書かれていたが(参照)、DellがAndroidを使ったスマートフォンのリリースに向けて着々と準備を進めているらしい。 Microsoft/Intel連合がOSとチップセットという組み合わせでパソコンビジネス(ハード)への参入障壁を極端に低くし、大量の新規参入組と自然淘汰により一気にパソコンの低価格化・コモディテぃ化が進んだことは記憶に新しいと思うが、それと同じような波がようやく携帯電話の世界に押し寄せて来ている。 ここに来てはっきりと見えて来たことがいくつかある。 Androidにより参入障壁が大幅にさがり、中国・台湾・韓国などからメーカーが大量に参入してくる そういったメーカーに製造をまかせ、自分はデザインとブランドだけで勝負する企業も参戦する(Dellはだぶんここに位置することになる) スマートフォンとそれ以外の境があいまいになり、フルブラウザーを搭載するのがあた
絵文字が開いてしまった「パンドラの箱」第5回--絵文字と日本マンガの親密な関係
絵文字の収録をめぐって、国際規格で大論争--「Google提案」を振り返る 皆さんこんにちは、面白くてタメになる(?)文字コード漫談の時間がやってまいりました。2月からとびとびで書いてきた絵文字の報告も、いよいよ今回が最終回。どうかよろしくお付き合いください。 さて、前回はどこまでお話ししたのでしたっけ。日本の絵文字をUnicodeに収録しようとするGoogleとAppleによる提案(以下、主導者の名をとりGoogle提案と略)ですが、去年の12月にパブリックレビューが開始されると、Unicode-MLで時ならぬ非難の嵐が吹き荒れたこと。そこでの反発を一言で言い表すなら、日本の文化に強く依存する絵文字を単純に国際規格に収録しようとした点にあったこと。 なぜなら国際規格の審議は参加各国の総意で成り立っており、特定の国しか便利に使えない文字を収録することは、当然強い反対をうけるからです。さらに
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
Expired
Expired:掲載期限切れです この記事は,ロイター・ジャパンとの契約の掲載期限(30日間)を過ぎましたので本サーバから削除しました。 このページは20秒後にNews トップページに自動的に切り替わります。
ke-tai.org > Blog Archive > JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」
JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 Tweet 2009/8/5 水曜日 matsui Posted in 記事紹介・リンク | 4 Comments » 昨日に続きセキュリティ関連の話題です。 下記のブログ記事が大変面白く、参考になる良エントリーでしたのでご紹介させていただきます。 → 徳丸浩の日記 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 [www.tokumaru.org] 今年の5月にドコモから発売されたJavaScript対応端末ですが、販売開始後すぐにソフトウェアアップデートによりJavaScript機能が停止されてしまいました。 上記エントリーでは、この停止の原因となった脆弱性について仮説を立てて検証し
「携帯電話に違法音楽ファイル識別機能を実装」,総務省の研究会より
総務省の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」は2009年6月22日,違法音楽配信対策について,「携帯端末に違法音楽ファイルを識別する機能を備えるべき」という方向性を示した。これは,研究会の下に設けられた違法音楽配信対策ワーキンググループ(主査:慶應義塾大学准教授 菊池尚人氏)において検討されたものである。レコード会社をはじめとする音楽配信事業者の事業に影響を与えるだけでなく,出会い系サイトなど有害サイトの入り口になっているとの指摘があるため,根本的な解決策が求められていると違法音楽配信サイトを位置づける。 違法音楽ファイルの識別機能は具体的に,2段階の処理から成り立つ。まずフィンガープリントといった音源識別技術を用いて,CDなどの正規音源から作成された音楽ファイルか個人が作成した音楽ファイルかを判断する。次に音楽ファイルが,携帯電話事業者から提供されたエンコーダ
Google モバイル - Gmail
携帯で Gmail を確認したいと思ったことはありませんか?Android なら簡単です。メールの返信、メッセージの検索、新しいメッセージの通知など、さまざまなメール機能をいつでもどこでも無料で使えます。 携帯とパソコンの完全同期を実現。パソコンで変更された情報を携帯で表示するだけでなく、双方向での同期が可能です。 メールはプッシュ形式で配信されるため、受信トレイを手動で更新する必要はありません。 通常の Gmail と同じ便利な機能とインターフェースを備えています。ラベル、スター、スレッド ビューなど、使い慣れた機能を携帯でも使用できます。 機能 メールのプッシュ配信: Android の Gmail では、新しいメッセージが届くと同時に受信トレイに表示されます。更新したり手動でメールを確認したりする必要はありません。 通知: 新しいメールが届くと、ステータス バーに通知が表
ケータイで群衆化するアラブの若者 「反イスラエル」ではない新しいデモの形 | JBpress (ジェイビープレス)
これまでアラブ諸国でのデモといえば「反イスラエル」であり「パレスチナ支持」と相場が決まっていた。それ故に、政府は鬱積する民衆の不満の「ガス抜き」としてデモを利用してきた。ところが、昨年春のデモは、不満の矛先が直接自国政府に向けられていた。さらに、デモに参加した人の多くは、これまで政治運動とは全く無縁だった比較的高学歴の若者だったことも、これまでのデモとは一線を画する特徴となっている。 実は、こうした新しいICT(Information and Communication Technology)を利用した群衆の組織化や、そのことによる政治的インパクトについては、非アラブ圏においても広く確認される現象であり、既にいくつかの論考が発表されている。 例えば、米評論家のラインゴールドは、こうした活動や現象を「スマートモブ=賢い群衆」と名づけている。ラインゴールドは当初、SMS(Short Messa
ke-tai.org > Blog Archive > ウノウの課金ノウハウが紹介されたスライド資料「ケータイゲームにおけるアイテム課金」
ウノウの課金ノウハウが紹介されたスライド資料「ケータイゲームにおけるアイテム課金」 Tweet 2009/6/25 木曜日 matsui Posted in 記事紹介・リンク | 3 Comments » 先日6月24日に行われた「第三回マネタイズHacks」内で、ウノウの社長山田進太郎氏による発表された「ケータイゲームにおけるアイテム課金」のスライド資料が公開されていましたのでご紹介します。 → suadd blog ケータイゲームにおけるアイテム課金(資料あり) [suadd.com] ケータイゲームにおけるアイテム課金 View more presentations from suadd. ウノウが作成したケータイゲーム「まちつく!」のノウハウや他社の課金例を元に、ケータイゲームにおける課金について解説されています。 詳しくは公開されているスライドを見ていただくとして、ポイントとして
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://it.blog-jiji.com/0001/2009/11/accesselse-1c75.html