【モバイル】iPhoneで人の情報丸見え…閲覧ソフト原因[10/10/25]
1 :
やるっきゃ騎士φ ★:
携帯IDは使うなって言われてるのに
かんたんログイン 脆弱性 でググれ
3 :
名刺は切らしておりまして:2010/10/25(月) 10:12:56 ID:Ua4h9HQQ
なりすましでサイトにアクセスするのは不正アクセス禁止法違反じゃないの?
4 :
名刺は切らしておりまして:2010/10/25(月) 10:17:51 ID:iYofu0Gy
これはむしろ携帯電話サイトのセキュリティの脆弱性が原因だろ。
5 :
名刺は切らしておりまして:2010/10/25(月) 10:20:17 ID:HGCB4lvl
き・・脆弱性
ブラウザ名偽装でいけるなら、
PCからもいけるだろ。
しかもiPhoneの問題でも、その偽装ブラウザのせいでもなく、
システムの脆弱性が原因だし。
7 :
名刺は切らしておりまして:2010/10/25(月) 10:25:27 ID:RfYVxl9Y
悪いのはソフトバンク
携帯ネットのルールとインターネット標準のルールは違うのに
なんの検討もせずに繋げて携帯ネットで使用されているセキュリティを崩壊させてしまった
>>6 それができるのはソフトバンクだけ
ドコモやauは携帯ネットのルールに従ってセキュリティを守っている
その仮想ソフトって脱獄アプリなのかな
9 :
名刺は切らしておりまして:2010/10/25(月) 10:26:33 ID:9mTKhXW8
>>7 >携帯ネットのルールとインターネット標準のルールは違うのに
それが許されたのは第2世代まで
世界共通規格の3Gでガラパゴス理論は通用しない
11 :
名刺は切らしておりまして:2010/10/25(月) 10:27:55 ID:RfYVxl9Y
>>9 どう馬鹿なのか?
俺の発言が間違っているというのなら、ドコモで同じことをやってみてくれ
これって携帯の識別番号をIDにしてたのかな?
そんな所をよりどころにしていたら、どちらにしても
偽装はされるだろ。
元々作りが脆弱なんだよ。
13 :
名刺は切らしておりまして:2010/10/25(月) 10:31:14 ID:RfYVxl9Y
俺がさっき他のスレで書いたのを貼りつけておく
まとめ
携帯サイトにはインターネットの常識で見るとセキュリティに穴がある
ドコモやauはインターネットの常識とは違うやり方でせき止めている
SBMは携帯電話の世界にインターネットの標準を持ち込もうとして
携帯サイトのセキュリティを破綻させた
14 :
名刺は切らしておりまして:2010/10/25(月) 10:32:29 ID:9mTKhXW8
じゃあ、俺が本当のまとめ。
携帯サイトにはセキュリティホールがあり、携帯の改造や
PCからの偽装アクセスにより、他人になりすましてアクセスし
個人情報等にアクセスする事が出来る。
携帯サイトを持っている会社は早急に脆弱な認証システムを修正し
セキュリティホールを塞ぐ必要がある。
16 :
名刺は切らしておりまして:2010/10/25(月) 10:34:46 ID:RfYVxl9Y
>>15 PCから偽装アクセスができるのはSBMだけだよ
ドコモやauのIPアドレスはAPNを乗っ取らない限り勝手に使うことはできない
>>16 じゃあ偽装の方法を教えてくれるか?
もしくは方法か、SBMのみ危険っていうソースをくれ。
はっきりいって
>>1の記事は記者が内容を理解していないので
具体的な方法が分からない。
君は随分確信を持っているようなので、余程理解しているのだろう。
IDとPASS制なんてなんて勘弁してくれよメンドクセェ
ガラケーはガラケー専用の携帯向けwebブラウザを積んで
認証サイトと勝手サイトを区別できるようにしてる
ガラケーのネットは、基本的にパソ通に似たもの
つまり、暗号化などではなくネット網の囲い込みをすることで
強固なセキュリティを確保してきた
20 :
名刺は切らしておりまして:2010/10/25(月) 10:38:34 ID:RfYVxl9Y
>>17 某所からのコピペだけど
> SoftBankの携帯電話で特定のAPN mailwebservice.softbank.ne.jp でネット接続して、
> 所定のProxyサーバ sbwapproxy.softbank.ne.jp:8080 を通してアクセスすると、
> 一般のPCからでも、「Yahoo!ケータイにて利用するIPアドレス帯域」で示されている
> IPアドレスからのアクセスができるという。
ドコモやauでは当然こんなことはできない
>>20 リンクじゃないとソースにならないのは知っているか?
>20
なんでソフトバンクはこんなの他社に使わせてんの?
mailwebservice.softbank.ne.jpでググったら引っかかるな
25 :
名刺は切らしておりまして:2010/10/25(月) 11:06:07 ID:VGTClIC5
22の言ってる意味が分からんが・・・
AUもパケット節約の為に、家のネットでモバイルサイトみれるようにするWi-Fi WINやってるけど
IS01とかからは繋げないもんな。ガラケーのみ。
つかこれかなりヤバクネ?他のサイトとかでもかなりあるとおもうぞ・・・
>>23 ソースをだせって言っているだけだが?
混ぜっ返しというなら、どこを混ぜっ返しているか言えよカス。
マジバカだな。
ソース出せば終わりの話だ。
結局ソースは出せないんだよな。
知ったか乙としか言えない。
引用している部分も他社に問題がないとはどこにも書いていないし。
アフォ過ぎる。
信者にしろアンチにしろ感情論だけで技術的に分かっていない奴が多すぎる。
高木のサイトがソースとか、随分心許ないなw
他のサイトの文句言う前に、自分のサイトの負荷対策くらいしろよ。
たかがhtmlべた書きレベルなのに重いとか。
そんなアクセスねーだろw
29 :
名刺は切らしておりまして:2010/10/25(月) 11:33:07 ID:S14TGJSA
携帯IDとか未だに使ってるアホが問題なんだろ
昔からあんなの使うなって言われてるのに・・・
昔のdocomoみたいにリファラ吐かないのを前提にしてたり、
IP制限してるから大丈夫とか馬鹿な解説サイトが多すぎる
「簡単ログイン」とかいう意味不明なボタンが付いてるサイトは全部危ないよ
馬鹿がファビョって連レスw
これがスレッドストッパーか
なるほど。
混ぜっ返すだけのバカだなw
クロネコヤマトのサイトが原因にしか見えないが…
これじゃPCからだって見えちゃうだろ
33 :
名刺は切らしておりまして:2010/10/25(月) 11:34:09 ID:hd27jMnY
ソースには書いてないけど
端末識別番号のチェックだけして、
IPのチェックをしてなかったってことでは?
id:RfYVxl9Y はどんな携帯サイトでもSBM以外は問題ないって言ってるのかな?
>>32 まあ普通に考えて認証が弱すぎるな。
利便性を考えると難しいのは分かるが。
>>33 単なるソフトバンクのアンチで技術的には何も分かっていないっぽい。
8nZKSITmと同レベルか、もしくは本人w
SBMのAPに偽装端末でアクセスするのはグレーゾーンだから
そもそもまっとうなサイトでは紹介してない。
必要な情報はあるんだから、本当に知りたければ
自力で実験してみるべき。
実験もしていないのに、知ったかしている奴は困ったもんだよなw
38 :
名刺は切らしておりまして:2010/10/25(月) 11:42:01 ID:RfYVxl9Y
>>33 問題が出るのはSBMだけ
ドコモやauの携帯ネットワークは仮想ネットワークとして独立しているから
もう
>>6で結論出てる
元記事書いた記者はじめ馬鹿ばかり
ソースのない妄言キタw
まあ、簡単ログイン系だの携帯からのサイトアクセスなんて
相応に危険なのは承知の上で使う事だってこった。
もちろんPCからのアクセスもな。
俺はネットワーク技術者wだから、自分が悪意を持った場合
どれだけの事が出来るかは良く分かる。
複数人監視とか機能させる程、人を雇える程余裕があるところも
少なくなってきているしな。
ID:RfYVxl9Y
こいつって馬鹿装ってるの?
>
>>42 メリットがないだろう。
天然ならではの臭いがするよ。
ソースは出せない、根拠もない。
とにかくドコモは安全だ〜!
とかw
44 :
名刺は切らしておりまして:2010/10/25(月) 11:50:21 ID:9mTKhXW8
携帯ネットワークとか仮想ネットワークとかww
45 :
名刺は切らしておりまして:2010/10/25(月) 11:52:03 ID:RfYVxl9Y
ドコモやauの携帯はインターネットの仮想ネットワークの上位に、さらに仮想ネットワークを形成してるんだよ
ドコモやauは偽装できても問題ない
偽装とかはネットワークに入ったあとの話でしょ
PCは入り口で締め出されるんだから
SBMはその携帯の仮想ネットワーク上にPCやiPhoneから侵入できるようにしてしまったんだよ
>>44 バーチャルルータを知ってるか?
物理的な接続と、仮想的な接続は切り離して考えるべきなんだよ
宅急便でーす!
と言われたから出たらヤクザの新聞勧誘でした
みたいなもんか
上京するといまでもこんなのあるのかな
ID:y9rxQbNGは何で発狂しとるん?
48 :
名刺は切らしておりまして:2010/10/25(月) 11:53:37 ID:Sd7iqtXA
UserAgentを
F900iC DoCoMo/2.0 F900iC(c100;TB;W22H12)
とかにすればいいだけ
49 :
名刺は切らしておりまして:2010/10/25(月) 11:54:02 ID:pFvdn0QH
ドコモでもPCから携帯踏み台にして接続できるよ
SSL接続とのコンボで…
おっとここまで
仮想ネットワークとか高木とか中学生くらいが好きそうだなw
技術に造詣があれば「この技術は安全」なんて口が裂けても言えないんだよ。
セキュリティホールなんか後から見つかるんだから。
DNSだってLinuxだって穴があるのに、携帯だけ安全なわけないんだがな。
51 :
名刺は切らしておりまして:2010/10/25(月) 11:54:51 ID:wshEbIKK
ハッキングツールじゃんw
>>47 >>41 > 俺はネットワーク技術者wだから、自分が悪意を持った場合
〜〜〜〜〜〜〜〜〜〜〜〜〜〜
>>6 UserAgent等、リクエストヘッダの偽装だけでは通常PCからアクセスできない。
なぜなら、IPアドレスでも判別するからだ。
この場合はiPhoneが携帯ネットワークのIPを持ってるから
システム開発者の想定外だった。
>>7 を支持
iPhoneのその閲覧ソフトが浅はか。
>>45 まともに相手しない方が良いと思うけどな。
煽りを入れた教えて君だろ。なんだかんだ、人に説明求めるわりに
反論は全然具体的じゃないし。
しかし識別番号を重複配布するこのケータイ偽装appも相当糞じゃないか?
>>53 そこに穴がないから、他にも穴がないと考えるのが浅はかとは気づかんものかなw
あくまでdocomoとかにない穴が一個あるだけ。
57 :
名刺は切らしておりまして:2010/10/25(月) 11:58:28 ID:pFvdn0QH
日本のITって腐ってんな
システムに穴があったら運営の責任だろ…ハックツールを規制すれば穴塞がなくておkとか
頭おかしすぎる
>>55 糞は糞だけど、クライアント側でどう操作しても
サーバ側で止められるように作る必要はある。
javascriptで安全性チェックしても仕方ないのと同じで。
sbrowserってたしかデフォルトはランダム生成した識別ID
そらだれかと被るわな
>58
そーいうめんどくさいことは望んでないんだよID・PASSなんて怠いんだよ
カンタンログインは利便性>>>>>>安全性なんだよそれでいいんだよ
>>53 それだとテザリングできる携帯はみんな穴じゃん。
携帯にそれを防ぐ機能がついていたとしても、携帯さえハックしてしまえばサーバの情報見放題ってそりゃまずいんじゃないの。
そもそもdocomoでも簡単ログイン問題とかあったのに、
docomoは安全とか言える頭の悪さと知識のなさが尋常じゃないよ。
>>53 ソフトバンクには携帯のIPとUAを持ってる鬼畜スマホもあるぜ
705NKでぐぐれ
セキュリティってのは絶対安全と思っても、大抵いつか破られる。
だから常に「本当にこれでいいのか。穴があるんじゃないか。」って常に疑って
改善するのが基本。
「ネットワークが仮想だから安全だ〜、わ〜い」とか言ってるやつに
セキュリティは理解出来んよ。
>>61 「PCは弾くから大丈夫」で済ますのがガラケークオリティ
凄いでしょ
>>61 システムはおそらく数年前に作られたもので、そういった
使い方などは想定の範囲外だったんだよ。
だから攻められない。で、粛々と対応していくと思うよ?
たとえば昔昔、携帯ってWebのソースが見られなかったでしょ?
jPhone は、現在のURLすら見られなかった。
それを使って、ログインなんかを簡便にしたシステムを作ったとして
数年後に両方が可能になったら、その気になれば
Password閲覧できる状態になり、穴となった・・ってのと同じ。
67 :
名刺は切らしておりまして:2010/10/25(月) 12:08:37 ID:9mTKhXW8
仮想ネットワーク言ってる奴、頭大丈夫?
>>66 いくらなんでもその位は想定の範囲内だと思うが。
たまたま端末がちょっと対応してなかっただけで、
当然端末にはURLとか行っているわけだからな。
そんなのに頼ったシステムなんて論外だろ。
仮想ネットワーク君はなかなか良質のネタ源になりそう
仮想だから安全!
>>67 とりあえず言えるのは、中U病はバーチャルとか仮想って言葉が好きって事くらい。
「おれはバーチャルだから無敵だぜ!」みたいな、
そんな勢いを感じる。
>世界共通規格の3Gでガラパゴス理論は通用しない
ここは日本で日本の法律で動いている
サイト側は対応していくんだろうけど、うっかりでも入ってしまった人は違法になるし
ソフトバンクもそれをしたら違法だと、告知しなければならないだろうな
73 :
名刺は切らしておりまして:2010/10/25(月) 12:12:46 ID:Sd7iqtXA
ガラパゴスのために巨大なガラパゴス・システムを作り上げて
新機種出るたびに追加修正・IP範囲を毎日チェック
そして、いよいよ動きが取れなくなった
恐竜の絶滅も近いですな
・IPアドレスによる端末判別するな
・簡単ログインみたいな認証使うな
・The Internet と携帯ネットワークはちゃんと分離しろ
の話がごっちゃやで
>>72 論点がずれすぎだよ。
アンチとか信者とかいらんから。
つーかさ黒猫サイトってIDだけでパスワード認証はしてなかったの?
バグを仕様とよんでセキュリティホールに触れると警察に突き出すわけですね
どっかの図書館を思い出す
>>74 ・夏野早く死ね
>>76 携帯版はかんたんログイン使えば入力不要だったらしい
>79
なんだよじゃぁ黒猫サイトが糞ってことじゃん
81 :
名刺は切らしておりまして:2010/10/25(月) 12:16:13 ID:lo5S+gbg
iPhone関係なくね?
>>81 今回の件はiPhone関係あるけど、他の携帯も無縁の問題じゃない。
つーか、iPhoneて書く方がスレが盛り上がるだろw
83 :
365:2010/10/25(月) 12:17:23 ID:NYBvQ8fz
うーむ
キャリアのせいにしてるヤツがいるな
見識不足だぜ
インターネット上にサイトを作るということは世界中の不特定多数に晒されるということ
つまり、どんなネットワークから接続されるかわからないってこと
ドコモとauだとできなくてソフトバンクならできるとかそういう問題じゃない
そもそも接続してくるのは携帯電話回線だけじゃないんだぜ
世界中のあらゆるネットワークから接続される可能性があるし、中には悪意のあるヤツもいる
だから、どんなネットワークから接続されても問題のないような設計にしておく必要がある
今回はたまたまソフトバンク回線だったけど、
今後は他の(携帯電話以外の)回線からも接続され突破されるリスクもある
そういうサイトには「セキュリティホール」があるというのだ
分かりやすく言おう
このサイトが銀行に例えてみる
その銀行は金庫が開けっ放しだ
多くの良心的な人は、金庫が開けっ放しでも金を盗むことはないかもしれない
しかし、中には開けっ放しの金庫を見て金を盗むヤツも出てくる
この場合、悪意を持って金を盗むヤツはもちろん悪いが、
そもそも金庫を開けっ放しにしている銀行に問題がある
きちんと閉めておけばたとえ世の中に悪いヤツがいても金は盗めない
金庫を開けっ放しにしている銀行が金を盗まれたからと言って、
世間の人は
「あの銀行は気の毒ね」
とは言わない
「開けっ放しにするなんて馬鹿な銀行だな」
というだろう
そういうこと。わかる?
これは図書館のとは訳が違う気がするけど・・・
85 :
名刺は切らしておりまして:2010/10/25(月) 12:17:44 ID:Sd7iqtXA
iPhoneと無関係の話なのに
iPhoneたたき、SoftBankたたきの
材料にしようとする記者の魂胆が見え見え。
この元記事の記者はSIM解除iPhoneが買えないドコモ・ユーザーに間違いない
86 :
名刺は切らしておりまして:2010/10/25(月) 12:18:28 ID:lo5S+gbg
iPhoneって書いたほうがウケがいいってんでこう書いたのならエグいな
>>83 まず掲示板の使い方を覚えよう。
どこの馬の骨が書いたか分からん長文を読んでくれる奴はあまりいない。
無論俺も読まない。
読み手のことを考えられる優秀な人がかいたのならば、
内容はシンプルにまとめるからだ。
過去に読んだ長文や無駄な改行のある文は全てオナニーだった。
88 :
名刺は切らしておりまして:2010/10/25(月) 12:21:55 ID:lo5S+gbg
>>88 それはだとさすがに不親切だろ。
何より俺の気が済まないw
>>90 この程度の文が読めない池沼に2chは早いよw
>>87 >どこの馬の骨が書いたか分からん長文
お前の文章じゃん
なんかすごい人がいるな・・・
携帯IDのみってのもチョンバンクが変なことしなきゃセキュリティー守れてたし安全性と利便性守れてたんだがな
画面やらUIの関係で結局携帯とPCのサイトは分けて作らにゃならんし
ログインIDとパスワード入力省けるってかなり便利
糞のチョンバンクのせいでこれから面倒くさいパスワード入力しないとならなくなってわ
95 :
名刺は切らしておりまして:2010/10/25(月) 12:25:40 ID:AKqZbevI
携帯サイトってセキュリティどうなの?って思ってたら案の定ザルだってでござるの巻
>>92-93 大量だなw
もういいよw
>>94 その辺は頭のいい人が回避策考えるだろうよ。
携帯IDのみとか、元々いかにも問題のあるやり方だしな。
利便性のために目をつむっていただけのこと。
>>94 最初にやったのはVodafone 702シリーズのときだけどな
実際の欠陥サイトが公になったのが今
98 :
名刺は切らしておりまして:2010/10/25(月) 12:30:10 ID:lo5S+gbg
環境変数でログインさせようってこと自体、それが通用する制限された端末だけで行うべきだしな
これはヤマトの設計が悪い
1.認証をクライアント証明書や Cookie でやれば良かったのに,
ブラウザがつける拡張ヘッダで認証することにした
2.携帯機器かどうかは IP アドレスでチェックすることにした
3.携帯機器のブラウザはユーザは改造できないから大丈夫と考えた
結果,2は iPhone が複数のアドレスレンジ使うようになり,
3は iPhone が JailBreak を許すようになり,前提が壊れた
・iPhone に2と3が出来るように義務づけろと言っているのが
携帯ウェブサイトのデベロッパー
・iPhone のために1をやめろと言っているのが経済産業省と総務省
・間に挟まれているのがキャリア
で話わかるだろ.長文だけど.
100 :
名刺は切らしておりまして:2010/10/25(月) 12:41:03 ID:Sd7iqtXA
制限された端末・ガラパゴスわっしょい
時代はオープンに向かっているのに
鎖国ワロス
iPhone=出島のオランダ人
101 :
名刺は切らしておりまして:2010/10/25(月) 12:42:16 ID:Ua4h9HQQ
偽装情報でサイトにアクセスする不正プログラムの作者は逮捕されないの?
>3は iPhone が JailBreak を許すようになり,前提が壊れた
これはちょっと違う
JBは日本発売前の2007年末にはすでにあったから、「危険な端末を入れる圧力に屈した」って感じ
初めてiPhoneを欲しくなった・・・というかSBに入っても良いかと思ったw
>>101 Mac買うと最初からcurlってツールが入ってるはず
Windowsマシン買うとtelnetが入ってるはず
どっちもこの不正アクセスに使えるけど
そもそも問題となった携帯エミュアプリはapp storeに並んでるけど
>>98 携帯って時点で制限された端末だろうにPCみたく他の端末他の接続先にならないんだから
特定個人で使用する端末だからわざわざユニークID振らずに済んでた
偽装で通ると危ないからってのは理由にならんし偽装チェックとこれは別の話
携帯事業者のみに許されたポートをアホが制限抜きで通れるようにしたのが問題
108 :
名刺は切らしておりまして:2010/10/25(月) 12:52:30 ID:Ua4h9HQQ
>>105 そりゃTelnetでナリスマシメール配信だってやろうと思えばできちゃうけど
ソフト自体が偽装情報を生成して送信するわけじゃないっしょ
ソフトが偽装IDを生成する点に違法性がありそうだけどなー
109 :
名刺は切らしておりまして:2010/10/25(月) 12:52:46 ID:Sd7iqtXA
パソコン・携帯・スマートフォンを統合するのではなく、
あくまでも互いに完全に遮断された形を維持しようとする考えが古い、古すぎ、
耐えられない
>3.携帯機器のブラウザはユーザは改造できないから大丈夫と考えた
これは論外だな。
端末側に頼るのはセキュリティとしてあり得んわ。
スマートフォンにケータイサイトのアクセスを開放しないキャリアが悪いんだよ。
いくつか使いたいサイトがあるために未だにスマートフォンに乗換られないし。
113 :
名刺は切らしておりまして:2010/10/25(月) 12:57:26 ID:+1buH/nu
これについてはiPhoneが悪いわけじゃないが、日本に大量に存在する携帯サイトにスマートフォンでアクセスするとトラブルが発生しやすいのは現実
スマートフォンユーザは携帯サイトなど使わずPCサイトだけ使った方がよい
>>109 UI違うのにどうやって統合するんだよw
窓口以外は統合できても窓口外観は全部別になるだろ
115 :
名刺は切らしておりまして:2010/10/25(月) 13:03:14 ID:Sd7iqtXA
iPhoneで携帯サイトを閲覧するアプリ
有料「sbbrowser」絵文字不可・無料「KeitaiEmu」絵文字可
どちらもmixiなどの携帯サイトは見られない
>112
それ今度出るauで出来るようになるはずだよな
117 :
名刺は切らしておりまして:2010/10/25(月) 13:10:02 ID:+1buH/nu
勝手サイトの簡単ログインはともかく、公式サイトのUIDを使った認証はパスワード認証よりセキュアだと思う
パスワード盗まれる可能性は携帯を物理的に盗まれる可能性より遥かに高い
ていうか端末固有の番号だけで個人情報見られたってことは、
例えばその番号をログインに利用してる他の携帯サイトの運営してる人はここの個人情報見放題じゃん
危なすぎるだろ
119 :
名刺は切らしておりまして:2010/10/25(月) 13:11:07 ID:EnJweenW
こんなスレで1/4も一人がレスしているのは気味が悪い
>>119 論議に参加する知識も能力もないカスなのに、
無駄に煽りだけ入れていくバカもキモいがなw
121 :
名刺は切らしておりまして:2010/10/25(月) 13:13:32 ID:EnJweenW
ID:y9rxQbNG
見苦しいなこいつ
123 :
名刺は切らしておりまして:2010/10/25(月) 13:17:03 ID:Sd7iqtXA
「iPhone使用禁止」「sbbrowser禁止」は全く方向違い
同種のソフト(たとえばファイアフォックスのアドオンのFireMobileSimulatorなどが有名)
は大量に存在するし、
ソフトがなくても「手作業」で簡単に設定できることだからだ
改善すべきは、インターネットにある(非公式の)「携帯サイト」のほう
わはは。何を今頃騒いでるんだよw。
論点で上がってないものとして、かんたんログイン系の不正アクセスは現行の不正アクセス防止法では処罰出来ない件もあるんだがな。
法律ではIDとパスワードを用いるアクセスを不正アクセスと定義してるのに、パスワード無しでログイン出来ちゃうのでは法律上の不正アクセスにはなりえないw。
>>124 法文だと「アクセス制御機能に係る他人の識別符号」なので
電話会社が与えているIDはこれに該当する。
スマホは認証番号を持たないので別途IDとパスワードを与えるのが正解。
128 :
名刺は切らしておりまして:2010/10/25(月) 13:30:18 ID:Bhq7AQNn
やべ、こんな不正できるならソフトバンクにしよう。
129 :
名刺は切らしておりまして:2010/10/25(月) 13:33:06 ID:Sd7iqtXA
携帯を機種変更するたびに、設定が消えてしまう「簡単ログイン」は
全く簡単じゃない
今のようにSIMを差し替えていろいろな機種を使う時代の到来を
想定していないころの名残り
「電話番号」と「製造番号」で、「本人認証OK」は頭が足りない証拠
>>65 特定サイトに繋がなきゃいいつって
情報ぶっこ抜かれるの放置してたiphonてのがあったな
そもそもiPhoneは携帯ではないのだから、iPhoneから携帯サイトを見る(見たい)のが馬鹿
TLP(ティー・エル・ピー。Transport Layer Protocol)
http://dictionary.rbbtoday.com/Details/term2029.html iモード用のトランスポート層プロトコル。通常のインターネット接続では、
PPPやTCP/IPなどのプロトコルを使用してデータ通信を行っていますが、
それらが携帯機単体で処理するには重いプロトコルであること、
さらに無線区間のデータ量や信号数を減らして効率化を図るために、
新たにiモード用のトランスポート・プロトコルとしてTLP(トランスポート層プロトコル)が開発されました。
M- PGW(Mobile-Packet Gateway、移動通信用パケット・ゲートウェイ)で、
インターネット側のTCPがiモードのTLPにプロトコル変換されます。
TLPでは、コネクション型通信とコネクションレス型通信が可能です。
iモードのALP(Application Layer Protocol)が、HTTPリクエスト/レスポンス通信を
行う場合はコネクション型通信を行い、iモード・サーバから携帯機に着信通知を送る場合は
コネクションレス型通信を使用します。TLPの各信号には、誤り検出用にチェックサム(誤り検出に
用いるビット・パターン)が設定されています。
また、データ送信後はそのつどACK(Acknowledgment、送達確認)信号を待つ確認型通信を行います。
ALP(エー・エル・ピー。Application Layer Protocol)
http://dictionary.rbbtoday.com/Details/term1005.html ALPは、iモード用のアプリケーション・プロトコルで、HTTP(HyperText Transfer Protocol、
ハイパーテキスト転送プロトコル)を一部変更したものです。
インターネットでは、HTMLファイルの取得はHTTPを用いて行われますが、
データ量の削減とiモード・サービス特有の機能を実現するため、
HTTPをベースとしたALPが新たに規定されています。
HTTPからの主な変更点は次のとおりです。
(1)無線通信サービス上不要となる、HTTPヘッダを付与しないことによってデータ量を削減していること
(2)着信通知信号を追加したこと
(3)HTTPを用いた電子メール送受信機能を実現していること
ALPのフォーマットはHTTPと同一であるため、HTMLファイルの取得をiモード・サーバや
インターネット上のWebサイト・サーバから直接行うことが可能です。
このプロトコルの機能は次のとおりです。
(1)プル(Pull)機能
リンク選択やURL指定によってHTTPリクエスト(ファイル取得要求)信号を
サーバに送信します(プル機能)。
これに対応したサーバからのHTTPレスポンス(応答)信号を受信することによって、
情報(HTMLファイル)の取得を行います。
(2)プッシュ(Push)機能
電子メールやIP(Information Provider、情報提供者)からメッセージが
iモード・サーバに届いた場合には、iモード移動機に対してiモード・サーバから
ALPの着信通知信号が送られます(プッシュ機能)。
iモード移動機がこの着信通知信号を受信した場合、メモリ容量にメッセージ保存領域があるか、
ないかを判断し、保存領域がある場合にはプル(Pull)機能を使ってHTTPリクエスト(メッセージ要求)を
iモード・サーバに送信し、それに対するHTTPレスポンス(メッセージ)を受信することによってプッシュ機能を実現しています。
135 :
名刺は切らしておりまして:2010/10/25(月) 13:46:59 ID:9mTKhXW8
>>111 電子キー全否定かよ
一意性が確保できるなら暗証番号キーより電子キーの方が強いぞ
>問題はSBrowserよりも、サイト側(つまりヤマト運輸側)にある
>サイトに掲載する担当は別にいるそうで、書いたご本人も
>「こんな風に縮められるとは思わなかった」とのこと。
記者っていうよりデスクがアホなんだろ
>>135 今までPCでこのような問題が起きなかったのは何故だと思う?
ガラケーのネットワーク網がインターネットではないからだ
ガラケーネットワーク網が持っているゲートウェイを介して
インターネットと相互のやり取りができただけのこと
>136
>おすすめiPhoneアプリ「ラブプラスi」シリーズ
了解した
141 :
名刺は切らしておりまして:2010/10/25(月) 14:03:15 ID:9mTKhXW8
>>139 ゲートウェイ通ってインターネットに出てってるってだけ
オマエが考えてるような仕組みとは違う
>>136 読んでもApple信者がiPhoneが悪くないニダとしか言って無いじゃん
記事書いた奴自体が理解してなくね?
____
/ \ /\ キリッ
. / (ー) (ー)\ <「専門家が言ったから問題はSBrowserよりも、サイト側(つまりヤマト運輸側)にある」
/ ⌒(__人__)⌒ \
| |r┬-| |
\ `ー’´ /
ノ \
/´ ヽ
| l \
ヽ -一””””~~``’ー?、 -一”””’ー-、.
ヽ ____(⌒)(⌒)⌒) ) (⌒_(⌒)⌒)⌒))
>>141 iモードからPC向けのWebサイトにアクセスするとiモードの接続を切らないのに
毎回ページ更新するたびに携帯側のIPアドレスが変更される
iモードの接続を切らずにWebサイトのページ更新するだけで
Webサイト側が認識するIPアドレスが変わるのは何故だと思う?
それは端末が直接IPアドレスを持っているわけじゃないからだ
ゲートウェイがセッション単位でプロトコル変換してるから。
端末の識別に関してもiモードのブラウザはCookieがないからサーバ側ではIDで識別してるだけ
144 :
名刺は切らしておりまして:2010/10/25(月) 14:12:06 ID:9mTKhXW8
>>144 おまえがTCP/IPのネットワークの知識がないだけだろ
ガラケーのネットワークは明らかにTCP/IPとは別物
インターネットがTCP/IPを使って構築されていることもしらないんじゃないか?
146 :
名刺は切らしておりまして:2010/10/25(月) 14:17:19 ID:9mTKhXW8
知識がないから技術的な内容で突っ込めなんだろうな
148 :
名刺は切らしておりまして:2010/10/25(月) 14:20:03 ID:9mTKhXW8
>>147 オマエの頭の中だけにあるんだろうな
カラゲーネットワークww
>>145 クロネコヤマトのガラケー用サイトがガラケー以外からアクセスできるようになってたのはじゃあ何で?
そのガラケー用ネットワークの外にあったからじゃないの?なんで外に置いとくの?
150 :
名刺は切らしておりまして:2010/10/25(月) 14:22:57 ID:EnJweenW
152 :
名刺は切らしておりまして:2010/10/25(月) 14:27:28 ID:9mTKhXW8
>>151 もういいよ。
ゲートウェイの意味が分かってないんだから。
>>152 ゲートウェイとはプロトコル変換する装置のことだろ
iモードの独自プロトコルからインターネットのTCP/IPに変換する装置のこと
154 :
名刺は切らしておりまして:2010/10/25(月) 14:29:01 ID:xg1LSqvo
登録してんだけど。最悪
155 :
名刺は切らしておりまして:2010/10/25(月) 14:29:30 ID:9mTKhXW8
>>153 じゃあ、オマエの言う「カラゲーネットワーク網」ってのはどんなの?
157 :
名刺は切らしておりまして:2010/10/25(月) 14:33:31 ID:9mTKhXW8
>>156 i-modeで閲覧出来るサイトの事かな?
これ別にiPhoneに限らず端末IDをユーザ認証に利用するような仕組を
使ってシステム構築してるのが糞ってだけだろ。
ちゃんとユーザIDとパスで認証かければいいだけ。
ニコ動アプリも出た当初これを指摘されてた。
159 :
名刺は切らしておりまして:2010/10/25(月) 14:35:10 ID:+1buH/nu
携帯ブラウザは一旦キャリアのゲートウェイを通って、HTMLだとかプロトコルの変換をしてから、目的のウェブサーバにアクセスするのはホント
絵文字の変換とかもそこでする
160 :
名刺は切らしておりまして:2010/10/25(月) 14:37:25 ID:Sd7iqtXA
一生懸命ガラパゴスの説明をされても困る
ソフトバンクの
iPhoneとかスマホとかは、「インターネット直結」なんだよ。
SSHだろうがなんだろうが、そのまま使えるんだよ
鎖国のドコモと一緒にしないでくれ
これって iPhone で禿回線を使った場合のメリットに見えてしまうんだけど
iPhoneはpanda-world.ne.jpってリモホ弾けばどうにかなるけど
simフリーiPhoneにドコモsim刺した場合はゲートウェイ経由か?
それならip規制をすり抜けるから悪いことし放題じゃね?
ドコモやauのスマホはなんか規制してるん?
やはりあいすとのT木ネタになるのだろうか。
164 :
名刺は切らしておりまして:2010/10/25(月) 14:51:02 ID:+1buH/nu
それもちょっと違う
ガラパゴスって言われる普通の携帯もTCP/IPをしゃべる事は出来る
探せばSSHクライアントのiアプリもあるかもしれない
使ってるネットワークはキャリアが同じなら同じなんだから
ただiモードブラウザを使うと、普通のPCブラウザと違って、一旦キャリアのゲートウェイを通る
>>162 モペラなんかの、プロバイダIP になるんじゃなかろうか
>>136を読んだけど結局ヤマト運輸がケータイ向けサイトでかんたんログイン・クイックログインを実装してるくせに
アクセス制限をIPで切ってなくてUAで制限するなんてアホなことをしてるから問題なんじゃん。
SBrowserってアプリは単にUAを偽装してアクセスをUAで切ってるケータイサイトが見れますよってだけのもの。
読売の記事の中身については読売のレベルの低さが出てしまっているというだけのこと。
まぁ、かんたんログイン・クイックログインがどういう物が知らなければオレの書いてる意味もわからないかもしれないけど。
>>165 ならドコモは問題ないか
IS03 ケータイサイトでググったら
>一番驚いたのはブラウザの改修で、Android標準ブラウザにau版の改修を加えており、
>au携帯ブラウザ同様に3G接続時には端末識別情報を送出するようになっているとのこと。
これは・・・やばくね?
168 :
名刺は切らしておりまして:2010/10/25(月) 15:01:18 ID:Bhq7AQNn
simがドコモならmoperaだな
>>167 最近のmobile Webkitはみんなそういう仕様になってるはずだよ。
それに別に端末IDを送ることが問題なんじゃない。
オープンなネットワークの中で端末IDをユーザ認証に使うことが問題なんだよ。
>>169 えっ、全部のサイトに端末ID送るの?
トラッキングクッキー要らずで閲覧先ダダ漏れじゃん
172 :
名刺は切らしておりまして:2010/10/25(月) 15:14:37 ID:Sd7iqtXA
ガラケー固有識別番号自動送出のおかげで
ワンクリック詐欺の人たちなど大喜びです
どのアダルトサイトでいつクリックしたという識別された記録が一生残ります
>>171 なんだガセネタかーwびっくりしたわ
追跡してくれてありがとう
>>171 あれ?どこかでそういう仕様変更な話を見た気がするんだけど、間違ってたか?
すまん。
>>171 ソフトバンク工作員は以前から
他社に対するガセ情報を流す手口を多用してるな。
本人が訂正してる情報でさえ
切り貼りして巧妙に事実と思い込ませようとしている。
176 :
名刺は切らしておりまして:2010/10/25(月) 15:34:21 ID:TGIEKhse
っでだ、具体的な被害は?
178 :
名刺は切らしておりまして:2010/10/25(月) 15:50:11 ID:Sd7iqtXA
そんなことよりオークションでは
機種名と製造番号が同時に表記されているから
あれでは、成りすまそうと悪意を持った犯人にとって
かもねぎ状態だ。
ガラパゴス携帯のセキュリティ上の脆弱性に依存する問題なのに、この記者は何でiPhoneが悪いみたいな記事書いてんの?
はいはいガラケーガーガラケーガーwww
181 :
名刺は切らしておりまして:2010/10/25(月) 16:20:27 ID:Sd7iqtXA
さすがITメディアの記事は、読売よりはるかに正確だな。
>契約者固有IDは、1つの端末からすべてのサイトに対して
>同一の値が送出されるため、プライバシー上の問題と
>セキュリティ上の問題がある。
>クイックログインは実装方法や運用方法によっては
>セキュリティ上の問題があるとされ、
>専門家からは懸念の声が上がっていた。
>>167 仮にそのデマそのまんまの仕様でも何もまずくないんだけどね。
auもドコモも禿も端末側が送出した個体識別IDは信用しないで問答無用でGWで書き換えるから。
>>174 俺もauのAndroidはID送るように変更されてるってどっかで読んだ気がする。
>>181 つまり「問題のある実装方法」をやっちゃったわけだ。
>181
逆に言うと実装方法と運用方法がしっかりしていれば、便利な機能と言うことでいいのか?
186 :
名刺は切らしておりまして:2010/10/25(月) 17:49:15 ID:Sd7iqtXA
>>185 基本的には問題が無い。
「端末がパスワードを持っていてくれる」のだから
パソコンがパスワード記憶してくれるのと大差ない。
問題は、流出しても誰にもそのパスワードを変えられないことと
「勝手サイト」などログインが不要な相手にも、UserAgent情報と一緒に
その「パスワード」が平文で渡されてしまうこと
187 :
名刺は切らしておりまして:2010/10/25(月) 17:52:18 ID:6UMxhX0T
てすと
>>185 微妙
ドコモが自分から穴開けたことがあるくらいだから
N-06A3とかもうね
>>186 あのな、PCでパスワードを扱うときは必ずハッシュをとるんだよ
平文の時点で論外
>>185 N速+のほうで書かれてるが、キャリアのサーバがOAuth的な振る舞いをすれば問題は解決する。
182の言ってることが本当で個体識別IDをドメインごとに問答無用で書き換えて送出しているならそれは半分達成されている
今回は禿携帯GW通してないから偽装できたけど、自称UIDは茸も庭も禿も
基本的にはキャリアGW通せば破棄されるよ
…ところで、相手サーバのFWが「いずれかの携帯IPならパス」という状況で
キャリアAのUIDを自称してキャリアBのGW通ったらどうなると思う?
キャリアBのGW通す時点でUID詐称出来てしまうならキャリアBがUID詐称できない環境にすべきだろ
それがUIDってキャリアごと仕様がまちまちでな
SSLは原理的に覗けないし責任ないし
アクセス受ける企業が対策してないのが問題?それともアクセスする端末が問題?
195 :
名刺は切らしておりまして:2010/10/25(月) 19:47:11 ID:Sd7iqtXA
携帯固有IDを強制的に垂れ流す、日本のケータイ全体の仕組みが問題。
当然、AndroidやiPhoneにはそういうものがないから
IDをシミュレートするしかない。
そうした海外製携帯では同一IDを使ってしまうことはありうる。
>>195 出来もしないことを無理にやろうとしたからだな
199 :
名刺は切らしておりまして:2010/10/26(火) 03:11:34 ID:gINVY+gW
wasabiの一文字も出てこないとはな
200 :
名刺は切らしておりまして:2010/10/26(火) 08:27:21 ID:QeJfH3wb
早くSIMフリーにならないかな
なったところでまともに使える保証が無い