慣れた人ほど詐欺メッセージにだまされる、SMSの恐ろしい仕様に気をつけろ
従来、詐欺サイトやウイルス(マルウエア)配布サイトに誘導する常とう手段はメールだった。だが最近ではスマートフォンの普及を受けて、SMS(ショートメッセージサービス)を使う手口が急増している。「メールでもSMSでも変わりない。注意していれば大丈夫」と思う人は少なくないだろうが大間違いだ。SMSには知る人ぞ知る恐ろしい仕様があるからだ。 偽の不在通知が猛威に SMSの偽メッセージでユーザーを偽サイトに誘導する手口はSMSフィッシングやスミッシングなどとも呼ばれる。 2018年以降、SMSの偽メッセージが大きな被害をもたらしている。特に多いのが宅配便の不在通知に見せかける手口である。佐川急便をかたる手口が猛威を振るい、その後ヤマト運輸や日本郵便などを名乗る手口が出現した。 今でもこの手口は盛んに使われている。例えばフィッシング対策の業界団体であるフィッシング対策協議会は2020年7月、フィッシン
まちがった自動ログイン処理
(Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保
ログアウト機能の目的と実現方法
このエントリでは、Webアプリケーションにおけるログアウト機能に関連して、その目的と実現方法について説明します。 議論の前提 このエントリでは、認証方式として、いわゆるフォーム認証を前提としています。フォーム認証は俗な言い方かもしれませんが、HTMLフォームでIDとパスワードの入力フォームを作成し、その入力値をアプリケーション側で検証する認証方式のことです。IDとパスワードの入力は最初の1回ですませたいため、通常はCookieを用いて認証状態を保持します。ログアウト機能とは、保持された認証状態を破棄して、認証していない状態に戻すことです。 Cookieを用いた認証状態保持 前述のように、認証状態の保持にはCookieを用いることが一般的ですが、Cookieに auth=1 とか、userid=tokumaru などのように、ログイン状態を「そのまま」Cookieに保持すると脆弱性になります
android:idについて
android:idについて XMLに書かれているandroid:id、例えば、 android:id="@+id/gridview" に関して android developersのDeclaring Layoutの記事は分かりにくい。そこで、私なりにまとめてみる。 Viewは階層構造をしています。このため、この階層構造は「木、ツリー」(tree)とも表現されたりします。 個々のViewは、個々にIDを持っています。これは個々のViewを識別するためです。 しかし、プログラマは、全てのViewにIDを与えるコードを書く必要はありません。プログラム内で識別を必要とするViewに対してだけ、意図的にIDを付与すれば良いのです。例えば、多くの場合、LinearLayout等のViewGroupにIDを付与する必要性は無いでしょう。 IDはXMLファイル内では通常は文字列として書きます。例えば、
Content Provider について
各レコードは、_ID という自身を識別するフィールドを持っています。 このフィールドは自身を識別すると同時に、他のテーブルとJOINする際にも利用されます。 問合せは、Cursor オブジェクトを返します。 これはJDBCで言えば ResultSet のようなものです。 ここから各行の値を取ってくることができるし、列の型を知ることもできます(ResulSetMetaDataのように)。 URI それぞれの Content Provider は、public URI を公開しています。 これが各データセットのユニークな識別子となります。 複数のデータセット(つまり複数のテーブルのデータ)は、それぞれが異なる URI によって公開されます。 URI は全て content:// から始まります。 この Scheme は、このデータが Content Provider によって提供されることを意
スマフォのリワード広告におけるUDIDに依存しない設計案 - snippets from shinichitomita’s journal
前回のまとめ 前エントリで触れたとおり、スマートフォンのUDIDの問題点というのは、自分の把握する限り3つあった。 1. サーバとのセッションを管理するための認証に使われてしまっている 2. アプリケーションをまたがっての行動トラッキングに使われてしまっている 3. スマフォにおけるリワード広告がUDIDが取れることに依存した実装になっている。 このうち、1. に関しては代替案があり、ほぼ既存のユーザビリティを損なわない形に実装できるものなので、単に実装側の怠慢か知識不足に帰結されると感じている。今の時点でこれほど安易に使われてしまっているのは残念なことではあるかもしれないが、今後改善できる余地がある。 2. に関しては、実はデバイス固有IDであることについてはそれほどこの時点では問題ではなく、単にトラッキングされることに対してユーザの同意も拒否も介在する余地が無い、というところを問題にし
高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
Firefox、ログインとログアウトの簡単操作ボタン | エンタープライズ | マイコミジャーナル
Firefox web browser - Faster, more secure & customizable Mozilla Labs ≫ Concept Series ≫ Welcome To Account ManagerにおいてFirefoxの新しい機能が実験的に公開された。公開されたのはプロトタイプという位置づけにあり、UIもシンプルなもの。しかし、可能なかぎり早い段階でマージすることが計画されており、今後はデフォルトで提供される機能のひとつになる見通し。 WebアプリケーションやWebサービスの依存度が高まるにつれ、ブラウザからサイトやサービスへのログイン・ログアウトは今まで以上に重要な操作になりつつある。しかし、サイトやサービスごとにログインの操作やログアウトの操作は違っており、統一されていないというのが現実だ。今回公開されたAccount Managerはこうしたログイン
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
各社のログインAPIで返ってくるIDは何であるのかと、PPIDの現状について
Webや携帯電話における固定IDとプライバシー問題(<特集>監視社会におけるプライバシー保護のあり方) | CiNii Research