昨日に引き続き「何それ、こわい」な情報が出てきました。あまりJavaScriptは触らないのでヘッダ情報を書き換えてアクセスできるなんて知らなかった・・・。現在iモードブラウザ2.0のJavaScript機能は停止されているとの事ですが下記URLの記事の内容からするに勝手サイトでかんたんログインを使っていたら全滅の可能性すらありますね。公式サイト制作の知識のある人だったら公式サイトも力技で突破できる。
ke-tai.org > Blog Archive > JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」
徳丸浩の日記 - i-mode2.0セキュリティの検討 - 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性
ここまで来ると実機から送られているIDは絶対にセッション管理に使用しないようにして、公式サイトであっても使い捨てセッションIDを発行してログイン管理しないといけなくなるな。公式サイトの実態は殆どかんたんログイン状態なのですが、別にキャリアはUID等を課金以外の目的で使う事に対して特に触れてなかったと思うし、この際キャリアからバシッと言ってもらえるとCPも従うはず。今までconfidentialで守って来たかも知れないが勝手サイトで実機にアクセスさせれば丸見えのパラメータなんてなんの機密にもならないから手遅れだと思います。
技術者も危ない危ない言っても環境は変わらないので、リスクをちゃんと見積もったうえでサイト制作のガイドラインを作って理解を求める方にシフトしたほうがいいな。つか自分がやらなきゃ・・・。orz
コメントする