【モバイル】iPhoneで人の情報丸見え…閲覧ソフト原因[10/10/25]

このエントリーをはてなブックマークに追加
1やるっきゃ騎士φ ★
高機能携帯電話・スマートフォン「iPhone(アイフォーン)」で
携帯サイトにアクセスしたら、他人の会員ページに入り、個人情報を
“盗み見”してしまった――。

アイフォーン利用者の間でそんなトラブルが起きている。
本来、携帯サイトの閲覧はできないスマートフォンに、携帯電話の
識別番号(携帯ID)を付与して一般の携帯電話に「なりすまし」て、
サイト閲覧を可能にするソフトが原因だ。
会員の情報が漏れていた宅配大手「ヤマト運輸」(東京都)では、
サービスの一部を停止し、被害状況の調査を始めた。

トラブルが起きたのは、ヤマト運輸の「クロネコヤマトモバイルサイト」。
サイト上で集荷や再配達の依頼をできるサービスで、9月末現在、
パソコンでの利用者を含め約560万人が登録しているが、
氏名、住所、電話番号、メールアドレスなどの登録情報を他人が
閲覧できるケースが確認された。

ソースは
http://www.yomiuri.co.jp/national/news/20101024-OYT1T00747.htm?from=top
“携帯サイトの個人のページにアクセスする仕組み”という図は
http://www.yomiuri.co.jp/photo/20101024-305615-1-L.jpg
2名刺は切らしておりまして:2010/10/25(月) 10:08:15 ID:rk3Nw32j
携帯IDは使うなって言われてるのに
かんたんログイン 脆弱性 でググれ
3名刺は切らしておりまして:2010/10/25(月) 10:12:56 ID:Ua4h9HQQ
なりすましでサイトにアクセスするのは不正アクセス禁止法違反じゃないの?
4名刺は切らしておりまして:2010/10/25(月) 10:17:51 ID:iYofu0Gy
これはむしろ携帯電話サイトのセキュリティの脆弱性が原因だろ。
5名刺は切らしておりまして:2010/10/25(月) 10:20:17 ID:HGCB4lvl
き・・脆弱性
6名刺は切らしておりまして:2010/10/25(月) 10:22:49 ID:O8zXnSjt
ブラウザ名偽装でいけるなら、
PCからもいけるだろ。
しかもiPhoneの問題でも、その偽装ブラウザのせいでもなく、
システムの脆弱性が原因だし。
7名刺は切らしておりまして:2010/10/25(月) 10:25:27 ID:RfYVxl9Y
悪いのはソフトバンク

携帯ネットのルールとインターネット標準のルールは違うのに
なんの検討もせずに繋げて携帯ネットで使用されているセキュリティを崩壊させてしまった


>>6
それができるのはソフトバンクだけ
ドコモやauは携帯ネットのルールに従ってセキュリティを守っている
8名刺は切らしておりまして:2010/10/25(月) 10:26:18 ID:MDQVCEdt
その仮想ソフトって脱獄アプリなのかな
9名刺は切らしておりまして:2010/10/25(月) 10:26:33 ID:9mTKhXW8
>>7
馬鹿なの?
10名刺は切らしておりまして:2010/10/25(月) 10:27:35 ID:MDQVCEdt
>>7
>携帯ネットのルールとインターネット標準のルールは違うのに
それが許されたのは第2世代まで
世界共通規格の3Gでガラパゴス理論は通用しない
11名刺は切らしておりまして:2010/10/25(月) 10:27:55 ID:RfYVxl9Y
>>9
どう馬鹿なのか?
俺の発言が間違っているというのなら、ドコモで同じことをやってみてくれ
12名刺は切らしておりまして:2010/10/25(月) 10:28:59 ID:y9rxQbNG
これって携帯の識別番号をIDにしてたのかな?
そんな所をよりどころにしていたら、どちらにしても
偽装はされるだろ。
元々作りが脆弱なんだよ。
13名刺は切らしておりまして:2010/10/25(月) 10:31:14 ID:RfYVxl9Y
俺がさっき他のスレで書いたのを貼りつけておく


まとめ

携帯サイトにはインターネットの常識で見るとセキュリティに穴がある
ドコモやauはインターネットの常識とは違うやり方でせき止めている

SBMは携帯電話の世界にインターネットの標準を持ち込もうとして
携帯サイトのセキュリティを破綻させた
14名刺は切らしておりまして:2010/10/25(月) 10:32:29 ID:9mTKhXW8
>>11
インターネット標準のルールってなによ?
15名刺は切らしておりまして:2010/10/25(月) 10:33:08 ID:y9rxQbNG
じゃあ、俺が本当のまとめ。


携帯サイトにはセキュリティホールがあり、携帯の改造や
PCからの偽装アクセスにより、他人になりすましてアクセスし
個人情報等にアクセスする事が出来る。
携帯サイトを持っている会社は早急に脆弱な認証システムを修正し
セキュリティホールを塞ぐ必要がある。
16名刺は切らしておりまして:2010/10/25(月) 10:34:46 ID:RfYVxl9Y
>>15
PCから偽装アクセスができるのはSBMだけだよ
ドコモやauのIPアドレスはAPNを乗っ取らない限り勝手に使うことはできない
17名刺は切らしておりまして:2010/10/25(月) 10:36:26 ID:y9rxQbNG
>>16
じゃあ偽装の方法を教えてくれるか?
もしくは方法か、SBMのみ危険っていうソースをくれ。
はっきりいって>>1の記事は記者が内容を理解していないので
具体的な方法が分からない。
君は随分確信を持っているようなので、余程理解しているのだろう。
18名刺は切らしておりまして:2010/10/25(月) 10:36:47 ID:KItcYAVy
IDとPASS制なんてなんて勘弁してくれよメンドクセェ
19名刺は切らしておりまして:2010/10/25(月) 10:37:00 ID:MDQVCEdt
ガラケーはガラケー専用の携帯向けwebブラウザを積んで
認証サイトと勝手サイトを区別できるようにしてる

ガラケーのネットは、基本的にパソ通に似たもの
つまり、暗号化などではなくネット網の囲い込みをすることで
強固なセキュリティを確保してきた
20名刺は切らしておりまして:2010/10/25(月) 10:38:34 ID:RfYVxl9Y
>>17
某所からのコピペだけど

> SoftBankの携帯電話で特定のAPN mailwebservice.softbank.ne.jp でネット接続して、
> 所定のProxyサーバ sbwapproxy.softbank.ne.jp:8080 を通してアクセスすると、
> 一般のPCからでも、「Yahoo!ケータイにて利用するIPアドレス帯域」で示されている
> IPアドレスからのアクセスができるという。

ドコモやauでは当然こんなことはできない
21名刺は切らしておりまして:2010/10/25(月) 10:39:08 ID:y9rxQbNG
>>20
リンクじゃないとソースにならないのは知っているか?
22名刺は切らしておりまして:2010/10/25(月) 10:41:17 ID:KItcYAVy
>20
なんでソフトバンクはこんなの他社に使わせてんの?
23名刺は切らしておりまして:2010/10/25(月) 11:03:15 ID:8nZKSITm
>>21
混ぜっ返すだけの馬鹿発見
24名刺は切らしておりまして:2010/10/25(月) 11:05:37 ID:myLQeJFK
mailwebservice.softbank.ne.jpでググったら引っかかるな
25名刺は切らしておりまして:2010/10/25(月) 11:06:07 ID:VGTClIC5
22の言ってる意味が分からんが・・・

AUもパケット節約の為に、家のネットでモバイルサイトみれるようにするWi-Fi WINやってるけど
IS01とかからは繋げないもんな。ガラケーのみ。

つかこれかなりヤバクネ?他のサイトとかでもかなりあるとおもうぞ・・・
26名刺は切らしておりまして:2010/10/25(月) 11:18:16 ID:y9rxQbNG
>>23
ソースをだせって言っているだけだが?
混ぜっ返しというなら、どこを混ぜっ返しているか言えよカス。
マジバカだな。
ソース出せば終わりの話だ。
27名刺は切らしておりまして:2010/10/25(月) 11:21:23 ID:y9rxQbNG
結局ソースは出せないんだよな。
知ったか乙としか言えない。
引用している部分も他社に問題がないとはどこにも書いていないし。
アフォ過ぎる。
信者にしろアンチにしろ感情論だけで技術的に分かっていない奴が多すぎる。
28名刺は切らしておりまして:2010/10/25(月) 11:24:29 ID:y9rxQbNG
高木のサイトがソースとか、随分心許ないなw
他のサイトの文句言う前に、自分のサイトの負荷対策くらいしろよ。
たかがhtmlべた書きレベルなのに重いとか。
そんなアクセスねーだろw
29名刺は切らしておりまして:2010/10/25(月) 11:33:07 ID:S14TGJSA
携帯IDとか未だに使ってるアホが問題なんだろ
昔からあんなの使うなって言われてるのに・・・
昔のdocomoみたいにリファラ吐かないのを前提にしてたり、
IP制限してるから大丈夫とか馬鹿な解説サイトが多すぎる

「簡単ログイン」とかいう意味不明なボタンが付いてるサイトは全部危ないよ
30名刺は切らしておりまして:2010/10/25(月) 11:33:15 ID:8nZKSITm
馬鹿がファビョって連レスw
これがスレッドストッパーか
31名刺は切らしておりまして:2010/10/25(月) 11:33:38 ID:y9rxQbNG
なるほど。
混ぜっ返すだけのバカだなw
32 [―{}@{}@{}-] 名刺は切らしておりまして:2010/10/25(月) 11:33:40 ID:nG7tYVPv
クロネコヤマトのサイトが原因にしか見えないが…
これじゃPCからだって見えちゃうだろ
33名刺は切らしておりまして:2010/10/25(月) 11:34:09 ID:hd27jMnY
ソースには書いてないけど
端末識別番号のチェックだけして、
IPのチェックをしてなかったってことでは?


id:RfYVxl9Y はどんな携帯サイトでもSBM以外は問題ないって言ってるのかな?
34名刺は切らしておりまして:2010/10/25(月) 11:35:35 ID:y9rxQbNG
>>32
まあ普通に考えて認証が弱すぎるな。
利便性を考えると難しいのは分かるが。
35名刺は切らしておりまして:2010/10/25(月) 11:36:39 ID:y9rxQbNG
>>33
単なるソフトバンクのアンチで技術的には何も分かっていないっぽい。
8nZKSITmと同レベルか、もしくは本人w
36名刺は切らしておりまして:2010/10/25(月) 11:39:05 ID:tIerkhDQ
SBMのAPに偽装端末でアクセスするのはグレーゾーンだから
そもそもまっとうなサイトでは紹介してない。
必要な情報はあるんだから、本当に知りたければ
自力で実験してみるべき。
37名刺は切らしておりまして:2010/10/25(月) 11:40:27 ID:y9rxQbNG
実験もしていないのに、知ったかしている奴は困ったもんだよなw
38名刺は切らしておりまして:2010/10/25(月) 11:42:01 ID:RfYVxl9Y
>>33
問題が出るのはSBMだけ
ドコモやauの携帯ネットワークは仮想ネットワークとして独立しているから
39名刺は切らしておりまして:2010/10/25(月) 11:42:12 ID:s8dfkoGF
もう>>6で結論出てる
元記事書いた記者はじめ馬鹿ばかり
40名刺は切らしておりまして:2010/10/25(月) 11:42:36 ID:y9rxQbNG
ソースのない妄言キタw
41名刺は切らしておりまして:2010/10/25(月) 11:44:31 ID:y9rxQbNG
まあ、簡単ログイン系だの携帯からのサイトアクセスなんて
相応に危険なのは承知の上で使う事だってこった。
もちろんPCからのアクセスもな。
俺はネットワーク技術者wだから、自分が悪意を持った場合
どれだけの事が出来るかは良く分かる。
複数人監視とか機能させる程、人を雇える程余裕があるところも
少なくなってきているしな。
42名刺は切らしておりまして:2010/10/25(月) 11:45:15 ID:s8dfkoGF

ID:RfYVxl9Y

こいつって馬鹿装ってるの?
43名刺は切らしておりまして:2010/10/25(月) 11:46:13 ID:y9rxQbNG
>>>42
メリットがないだろう。
天然ならではの臭いがするよ。
ソースは出せない、根拠もない。
とにかくドコモは安全だ〜!
とかw
44名刺は切らしておりまして:2010/10/25(月) 11:50:21 ID:9mTKhXW8
携帯ネットワークとか仮想ネットワークとかww
45名刺は切らしておりまして:2010/10/25(月) 11:52:03 ID:RfYVxl9Y
ドコモやauの携帯はインターネットの仮想ネットワークの上位に、さらに仮想ネットワークを形成してるんだよ
ドコモやauは偽装できても問題ない
偽装とかはネットワークに入ったあとの話でしょ
PCは入り口で締め出されるんだから

SBMはその携帯の仮想ネットワーク上にPCやiPhoneから侵入できるようにしてしまったんだよ


>>44
バーチャルルータを知ってるか?
物理的な接続と、仮想的な接続は切り離して考えるべきなんだよ
46名刺は切らしておりまして:2010/10/25(月) 11:52:15 ID:rUEKxUdW
宅急便でーす!
と言われたから出たらヤクザの新聞勧誘でした
みたいなもんか
上京するといまでもこんなのあるのかな
47名刺は切らしておりまして:2010/10/25(月) 11:52:49 ID:qrTzQ0oD
ID:y9rxQbNGは何で発狂しとるん?
48名刺は切らしておりまして:2010/10/25(月) 11:53:37 ID:Sd7iqtXA
UserAgentを
F900iC DoCoMo/2.0 F900iC(c100;TB;W22H12)
とかにすればいいだけ
49名刺は切らしておりまして:2010/10/25(月) 11:54:02 ID:pFvdn0QH
ドコモでもPCから携帯踏み台にして接続できるよ
SSL接続とのコンボで…

おっとここまで
50名刺は切らしておりまして:2010/10/25(月) 11:54:50 ID:y9rxQbNG
仮想ネットワークとか高木とか中学生くらいが好きそうだなw
技術に造詣があれば「この技術は安全」なんて口が裂けても言えないんだよ。
セキュリティホールなんか後から見つかるんだから。
DNSだってLinuxだって穴があるのに、携帯だけ安全なわけないんだがな。
51名刺は切らしておりまして:2010/10/25(月) 11:54:51 ID:wshEbIKK
ハッキングツールじゃんw
52名刺は切らしておりまして:2010/10/25(月) 11:54:58 ID:DC5bws2y
>>47

>>41
> 俺はネットワーク技術者wだから、自分が悪意を持った場合
  〜〜〜〜〜〜〜〜〜〜〜〜〜〜
53名刺は切らしておりまして:2010/10/25(月) 11:55:31 ID:lzIXo9pS
>>6
UserAgent等、リクエストヘッダの偽装だけでは通常PCからアクセスできない。
なぜなら、IPアドレスでも判別するからだ。

この場合はiPhoneが携帯ネットワークのIPを持ってるから
システム開発者の想定外だった。
>>7 を支持

iPhoneのその閲覧ソフトが浅はか。
54名刺は切らしておりまして:2010/10/25(月) 11:56:18 ID:B1YTuLtE
>>45
まともに相手しない方が良いと思うけどな。
煽りを入れた教えて君だろ。なんだかんだ、人に説明求めるわりに
反論は全然具体的じゃないし。
55名刺は切らしておりまして:2010/10/25(月) 11:57:15 ID:KItcYAVy
しかし識別番号を重複配布するこのケータイ偽装appも相当糞じゃないか?
56名刺は切らしておりまして:2010/10/25(月) 11:57:36 ID:y9rxQbNG
>>53
そこに穴がないから、他にも穴がないと考えるのが浅はかとは気づかんものかなw
あくまでdocomoとかにない穴が一個あるだけ。
57名刺は切らしておりまして:2010/10/25(月) 11:58:28 ID:pFvdn0QH
日本のITって腐ってんな
システムに穴があったら運営の責任だろ…ハックツールを規制すれば穴塞がなくておkとか
頭おかしすぎる
58名刺は切らしておりまして:2010/10/25(月) 11:59:20 ID:y9rxQbNG
>>55
糞は糞だけど、クライアント側でどう操作しても
サーバ側で止められるように作る必要はある。
javascriptで安全性チェックしても仕方ないのと同じで。
59名刺は切らしておりまして:2010/10/25(月) 12:00:53 ID:xg4V8D+C
sbrowserってたしかデフォルトはランダム生成した識別ID
そらだれかと被るわな
60名刺は切らしておりまして:2010/10/25(月) 12:01:04 ID:KItcYAVy
>58
そーいうめんどくさいことは望んでないんだよID・PASSなんて怠いんだよ
カンタンログインは利便性>>>>>>安全性なんだよそれでいいんだよ
61 [―{}@{}@{}-] 名刺は切らしておりまして:2010/10/25(月) 12:01:19 ID:nG7tYVPv
>>53
それだとテザリングできる携帯はみんな穴じゃん。
携帯にそれを防ぐ機能がついていたとしても、携帯さえハックしてしまえばサーバの情報見放題ってそりゃまずいんじゃないの。
62名刺は切らしておりまして:2010/10/25(月) 12:02:06 ID:y9rxQbNG
そもそもdocomoでも簡単ログイン問題とかあったのに、
docomoは安全とか言える頭の悪さと知識のなさが尋常じゃないよ。
63名刺は切らしておりまして:2010/10/25(月) 12:02:11 ID:pFvdn0QH
>>53
ソフトバンクには携帯のIPとUAを持ってる鬼畜スマホもあるぜ
705NKでぐぐれ
64名刺は切らしておりまして:2010/10/25(月) 12:03:34 ID:y9rxQbNG
セキュリティってのは絶対安全と思っても、大抵いつか破られる。
だから常に「本当にこれでいいのか。穴があるんじゃないか。」って常に疑って
改善するのが基本。
「ネットワークが仮想だから安全だ〜、わ〜い」とか言ってるやつに
セキュリティは理解出来んよ。
65名刺は切らしておりまして:2010/10/25(月) 12:03:48 ID:pFvdn0QH
>>61
「PCは弾くから大丈夫」で済ますのがガラケークオリティ
凄いでしょ
66名刺は切らしておりまして:2010/10/25(月) 12:07:18 ID:lzIXo9pS
>>61
システムはおそらく数年前に作られたもので、そういった
使い方などは想定の範囲外だったんだよ。
だから攻められない。で、粛々と対応していくと思うよ?

たとえば昔昔、携帯ってWebのソースが見られなかったでしょ?
jPhone は、現在のURLすら見られなかった。
それを使って、ログインなんかを簡便にしたシステムを作ったとして
数年後に両方が可能になったら、その気になれば
Password閲覧できる状態になり、穴となった・・ってのと同じ。
67名刺は切らしておりまして:2010/10/25(月) 12:08:37 ID:9mTKhXW8
仮想ネットワーク言ってる奴、頭大丈夫?
68名刺は切らしておりまして:2010/10/25(月) 12:10:03 ID:y9rxQbNG
>>66
いくらなんでもその位は想定の範囲内だと思うが。
たまたま端末がちょっと対応してなかっただけで、
当然端末にはURLとか行っているわけだからな。
そんなのに頼ったシステムなんて論外だろ。
69名刺は切らしておりまして:2010/10/25(月) 12:11:02 ID:pFvdn0QH
仮想ネットワーク君はなかなか良質のネタ源になりそう
仮想だから安全!
70名刺は切らしておりまして:2010/10/25(月) 12:11:04 ID:y9rxQbNG
>>67
とりあえず言えるのは、中U病はバーチャルとか仮想って言葉が好きって事くらい。
「おれはバーチャルだから無敵だぜ!」みたいな、
そんな勢いを感じる。
71名刺は切らしておりまして:2010/10/25(月) 12:11:37 ID:o5Tekdzb
>世界共通規格の3Gでガラパゴス理論は通用しない
ここは日本で日本の法律で動いている
サイト側は対応していくんだろうけど、うっかりでも入ってしまった人は違法になるし
ソフトバンクもそれをしたら違法だと、告知しなければならないだろうな
72名刺は切らしておりまして:2010/10/25(月) 12:12:24 ID:pFvdn0QH
>>68
…と思うだろ
これが非競争市場だよ
73名刺は切らしておりまして:2010/10/25(月) 12:12:46 ID:Sd7iqtXA
ガラパゴスのために巨大なガラパゴス・システムを作り上げて
新機種出るたびに追加修正・IP範囲を毎日チェック
そして、いよいよ動きが取れなくなった
 
恐竜の絶滅も近いですな
74名刺は切らしておりまして:2010/10/25(月) 12:13:13 ID:Xl1R9I7l
・IPアドレスによる端末判別するな
・簡単ログインみたいな認証使うな
・The Internet と携帯ネットワークはちゃんと分離しろ

の話がごっちゃやで
75名刺は切らしておりまして:2010/10/25(月) 12:13:44 ID:y9rxQbNG
>>72
論点がずれすぎだよ。
アンチとか信者とかいらんから。
76名刺は切らしておりまして:2010/10/25(月) 12:13:53 ID:KItcYAVy
つーかさ黒猫サイトってIDだけでパスワード認証はしてなかったの?
77名刺は切らしておりまして:2010/10/25(月) 12:14:01 ID:vxRWi7Eh
バグを仕様とよんでセキュリティホールに触れると警察に突き出すわけですね
どっかの図書館を思い出す
78名刺は切らしておりまして:2010/10/25(月) 12:14:59 ID:y9rxQbNG
>>74
まずはアンカの使い方を覚えようなw
79名刺は切らしておりまして:2010/10/25(月) 12:15:14 ID:pFvdn0QH
>>74
・夏野早く死ね

>>76
携帯版はかんたんログイン使えば入力不要だったらしい
80名刺は切らしておりまして:2010/10/25(月) 12:15:53 ID:KItcYAVy
>79
なんだよじゃぁ黒猫サイトが糞ってことじゃん
81名刺は切らしておりまして:2010/10/25(月) 12:16:13 ID:lo5S+gbg
iPhone関係なくね?
82名刺は切らしておりまして:2010/10/25(月) 12:17:16 ID:y9rxQbNG
>>81
今回の件はiPhone関係あるけど、他の携帯も無縁の問題じゃない。
つーか、iPhoneて書く方がスレが盛り上がるだろw
83365:2010/10/25(月) 12:17:23 ID:NYBvQ8fz

うーむ
キャリアのせいにしてるヤツがいるな
見識不足だぜ

インターネット上にサイトを作るということは世界中の不特定多数に晒されるということ
つまり、どんなネットワークから接続されるかわからないってこと
ドコモとauだとできなくてソフトバンクならできるとかそういう問題じゃない
そもそも接続してくるのは携帯電話回線だけじゃないんだぜ
世界中のあらゆるネットワークから接続される可能性があるし、中には悪意のあるヤツもいる
だから、どんなネットワークから接続されても問題のないような設計にしておく必要がある
今回はたまたまソフトバンク回線だったけど、
今後は他の(携帯電話以外の)回線からも接続され突破されるリスクもある
そういうサイトには「セキュリティホール」があるというのだ

分かりやすく言おう
このサイトが銀行に例えてみる
その銀行は金庫が開けっ放しだ
多くの良心的な人は、金庫が開けっ放しでも金を盗むことはないかもしれない
しかし、中には開けっ放しの金庫を見て金を盗むヤツも出てくる
この場合、悪意を持って金を盗むヤツはもちろん悪いが、
そもそも金庫を開けっ放しにしている銀行に問題がある
きちんと閉めておけばたとえ世の中に悪いヤツがいても金は盗めない
金庫を開けっ放しにしている銀行が金を盗まれたからと言って、
世間の人は
「あの銀行は気の毒ね」
とは言わない
「開けっ放しにするなんて馬鹿な銀行だな」
というだろう

そういうこと。わかる?
84名刺は切らしておりまして:2010/10/25(月) 12:17:32 ID:fPQFqtmV
これは図書館のとは訳が違う気がするけど・・・
85名刺は切らしておりまして:2010/10/25(月) 12:17:44 ID:Sd7iqtXA
iPhoneと無関係の話なのに
iPhoneたたき、SoftBankたたきの
材料にしようとする記者の魂胆が見え見え。
 
この元記事の記者はSIM解除iPhoneが買えないドコモ・ユーザーに間違いない
86名刺は切らしておりまして:2010/10/25(月) 12:18:28 ID:lo5S+gbg
iPhoneって書いたほうがウケがいいってんでこう書いたのならエグいな
87名刺は切らしておりまして:2010/10/25(月) 12:19:41 ID:y9rxQbNG
>>83
まず掲示板の使い方を覚えよう。
どこの馬の骨が書いたか分からん長文を読んでくれる奴はあまりいない。
無論俺も読まない。
読み手のことを考えられる優秀な人がかいたのならば、
内容はシンプルにまとめるからだ。
過去に読んだ長文や無駄な改行のある文は全てオナニーだった。
88名刺は切らしておりまして:2010/10/25(月) 12:21:55 ID:lo5S+gbg
>>87

3行で

コレで済むだろ
89名刺は切らしておりまして:2010/10/25(月) 12:23:03 ID:y9rxQbNG
>>88
それはだとさすがに不親切だろ。
何より俺の気が済まないw
90名刺は切らしておりまして:2010/10/25(月) 12:23:11 ID:KItcYAVy
>>87
お前もグダグダなげぇよ
91名刺は切らしておりまして:2010/10/25(月) 12:23:51 ID:y9rxQbNG
>>90
この程度の文が読めない池沼に2chは早いよw
92名刺は切らしておりまして:2010/10/25(月) 12:23:57 ID:L71CHWWd
>>87
>どこの馬の骨が書いたか分からん長文
お前の文章じゃん
93名刺は切らしておりまして:2010/10/25(月) 12:24:40 ID:fPQFqtmV
なんかすごい人がいるな・・・
94名刺は切らしておりまして:2010/10/25(月) 12:24:41 ID:iklTtCs3
携帯IDのみってのもチョンバンクが変なことしなきゃセキュリティー守れてたし安全性と利便性守れてたんだがな
画面やらUIの関係で結局携帯とPCのサイトは分けて作らにゃならんし
ログインIDとパスワード入力省けるってかなり便利
糞のチョンバンクのせいでこれから面倒くさいパスワード入力しないとならなくなってわ
95名刺は切らしておりまして:2010/10/25(月) 12:25:40 ID:AKqZbevI
携帯サイトってセキュリティどうなの?って思ってたら案の定ザルだってでござるの巻
96名刺は切らしておりまして:2010/10/25(月) 12:27:47 ID:y9rxQbNG
>>92-93
大量だなw
もういいよw

>>94
その辺は頭のいい人が回避策考えるだろうよ。
携帯IDのみとか、元々いかにも問題のあるやり方だしな。
利便性のために目をつむっていただけのこと。
97名刺は切らしておりまして:2010/10/25(月) 12:29:52 ID:pFvdn0QH
>>94
最初にやったのはVodafone 702シリーズのときだけどな
実際の欠陥サイトが公になったのが今
98名刺は切らしておりまして:2010/10/25(月) 12:30:10 ID:lo5S+gbg
環境変数でログインさせようってこと自体、それが通用する制限された端末だけで行うべきだしな
これはヤマトの設計が悪い
99名刺は切らしておりまして:2010/10/25(月) 12:39:45 ID:Xl1R9I7l
1.認証をクライアント証明書や Cookie でやれば良かったのに,
 ブラウザがつける拡張ヘッダで認証することにした
2.携帯機器かどうかは IP アドレスでチェックすることにした
3.携帯機器のブラウザはユーザは改造できないから大丈夫と考えた

結果,2は iPhone が複数のアドレスレンジ使うようになり,
3は iPhone が JailBreak を許すようになり,前提が壊れた

・iPhone に2と3が出来るように義務づけろと言っているのが
 携帯ウェブサイトのデベロッパー
・iPhone のために1をやめろと言っているのが経済産業省と総務省
・間に挟まれているのがキャリア

で話わかるだろ.長文だけど.
100名刺は切らしておりまして:2010/10/25(月) 12:41:03 ID:Sd7iqtXA
制限された端末・ガラパゴスわっしょい
時代はオープンに向かっているのに
鎖国ワロス
iPhone=出島のオランダ人
101名刺は切らしておりまして:2010/10/25(月) 12:42:16 ID:Ua4h9HQQ
偽装情報でサイトにアクセスする不正プログラムの作者は逮捕されないの?
102名刺は切らしておりまして:2010/10/25(月) 12:44:24 ID:I5vSXrPa
>3は iPhone が JailBreak を許すようになり,前提が壊れた
これはちょっと違う
JBは日本発売前の2007年末にはすでにあったから、「危険な端末を入れる圧力に屈した」って感じ
103名刺は切らしておりまして:2010/10/25(月) 12:46:37 ID:DIeDkPwC
>>98
環境変数(笑)
104名刺は切らしておりまして:2010/10/25(月) 12:48:00 ID:MkW59DSO
初めてiPhoneを欲しくなった・・・というかSBに入っても良いかと思ったw
105名刺は切らしておりまして:2010/10/25(月) 12:48:01 ID:I5vSXrPa
>>101
Mac買うと最初からcurlってツールが入ってるはず
Windowsマシン買うとtelnetが入ってるはず

どっちもこの不正アクセスに使えるけど
106名刺は切らしておりまして:2010/10/25(月) 12:48:36 ID:xg4V8D+C
そもそも問題となった携帯エミュアプリはapp storeに並んでるけど
107名刺は切らしておりまして:2010/10/25(月) 12:49:11 ID:iklTtCs3
>>98
携帯って時点で制限された端末だろうにPCみたく他の端末他の接続先にならないんだから
特定個人で使用する端末だからわざわざユニークID振らずに済んでた
偽装で通ると危ないからってのは理由にならんし偽装チェックとこれは別の話
携帯事業者のみに許されたポートをアホが制限抜きで通れるようにしたのが問題
108名刺は切らしておりまして:2010/10/25(月) 12:52:30 ID:Ua4h9HQQ
>>105
そりゃTelnetでナリスマシメール配信だってやろうと思えばできちゃうけど
ソフト自体が偽装情報を生成して送信するわけじゃないっしょ

ソフトが偽装IDを生成する点に違法性がありそうだけどなー
109名刺は切らしておりまして:2010/10/25(月) 12:52:46 ID:Sd7iqtXA
パソコン・携帯・スマートフォンを統合するのではなく、
あくまでも互いに完全に遮断された形を維持しようとする考えが古い、古すぎ、
耐えられない
110名刺は切らしておりまして:2010/10/25(月) 12:53:36 ID:0n8/qE9D
ttp://mobaphoto.blogspot.com/2010/10/yomiuri-onlineiphone.html
111名刺は切らしておりまして:2010/10/25(月) 12:55:35 ID:y9rxQbNG
>3.携帯機器のブラウザはユーザは改造できないから大丈夫と考えた

これは論外だな。
端末側に頼るのはセキュリティとしてあり得んわ。
112名刺は切らしておりまして:2010/10/25(月) 12:56:57 ID:HmCxkrhY
スマートフォンにケータイサイトのアクセスを開放しないキャリアが悪いんだよ。
いくつか使いたいサイトがあるために未だにスマートフォンに乗換られないし。
113名刺は切らしておりまして:2010/10/25(月) 12:57:26 ID:+1buH/nu
これについてはiPhoneが悪いわけじゃないが、日本に大量に存在する携帯サイトにスマートフォンでアクセスするとトラブルが発生しやすいのは現実
スマートフォンユーザは携帯サイトなど使わずPCサイトだけ使った方がよい
114名刺は切らしておりまして:2010/10/25(月) 13:02:28 ID:iklTtCs3
>>109
UI違うのにどうやって統合するんだよw
窓口以外は統合できても窓口外観は全部別になるだろ
115名刺は切らしておりまして:2010/10/25(月) 13:03:14 ID:Sd7iqtXA
iPhoneで携帯サイトを閲覧するアプリ
有料「sbbrowser」絵文字不可・無料「KeitaiEmu」絵文字可
どちらもmixiなどの携帯サイトは見られない
116名刺は切らしておりまして:2010/10/25(月) 13:09:26 ID:o5Tekdzb
>112
それ今度出るauで出来るようになるはずだよな
117名刺は切らしておりまして:2010/10/25(月) 13:10:02 ID:+1buH/nu
勝手サイトの簡単ログインはともかく、公式サイトのUIDを使った認証はパスワード認証よりセキュアだと思う
パスワード盗まれる可能性は携帯を物理的に盗まれる可能性より遥かに高い
118 [―{}@{}@{}-] 名刺は切らしておりまして:2010/10/25(月) 13:10:49 ID:nG7tYVPv
ていうか端末固有の番号だけで個人情報見られたってことは、
例えばその番号をログインに利用してる他の携帯サイトの運営してる人はここの個人情報見放題じゃん
危なすぎるだろ
119名刺は切らしておりまして:2010/10/25(月) 13:11:07 ID:EnJweenW
こんなスレで1/4も一人がレスしているのは気味が悪い
120名刺は切らしておりまして:2010/10/25(月) 13:12:46 ID:y9rxQbNG
>>119
論議に参加する知識も能力もないカスなのに、
無駄に煽りだけ入れていくバカもキモいがなw
121名刺は切らしておりまして:2010/10/25(月) 13:13:32 ID:EnJweenW
>>120 少しは落ち着けよw
122名刺は切らしておりまして:2010/10/25(月) 13:15:11 ID:O4cSU9nh
ID:y9rxQbNG
見苦しいなこいつ
123名刺は切らしておりまして:2010/10/25(月) 13:17:03 ID:Sd7iqtXA
「iPhone使用禁止」「sbbrowser禁止」は全く方向違い
 
同種のソフト(たとえばファイアフォックスのアドオンのFireMobileSimulatorなどが有名)
は大量に存在するし、
ソフトがなくても「手作業」で簡単に設定できることだからだ
 
改善すべきは、インターネットにある(非公式の)「携帯サイト」のほう
124名刺は切らしておりまして:2010/10/25(月) 13:17:22 ID:bRoljuMv
わはは。何を今頃騒いでるんだよw。
論点で上がってないものとして、かんたんログイン系の不正アクセスは現行の不正アクセス防止法では処罰出来ない件もあるんだがな。
法律ではIDとパスワードを用いるアクセスを不正アクセスと定義してるのに、パスワード無しでログイン出来ちゃうのでは法律上の不正アクセスにはなりえないw。
125名刺は切らしておりまして:2010/10/25(月) 13:21:47 ID:bsDR1Slh
>>124
法文だと「アクセス制御機能に係る他人の識別符号」なので
電話会社が与えているIDはこれに該当する。
スマホは認証番号を持たないので別途IDとパスワードを与えるのが正解。
126名刺は切らしておりまして:2010/10/25(月) 13:25:46 ID:pY/RW5pF
読売新聞に情報を伝えた当事者が書いてるよ

YOMIURI ONLINEに掲載された「iPhoneで人の情報丸見え」記事について、当事者から。
ttp://mobaphoto.blogspot.com/2010/10/yomiuri-onlineiphone.html
127名刺は切らしておりまして:2010/10/25(月) 13:27:48 ID:L71CHWWd
>>126
>>110
128名刺は切らしておりまして:2010/10/25(月) 13:30:18 ID:Bhq7AQNn
やべ、こんな不正できるならソフトバンクにしよう。
129名刺は切らしておりまして:2010/10/25(月) 13:33:06 ID:Sd7iqtXA
携帯を機種変更するたびに、設定が消えてしまう「簡単ログイン」は
全く簡単じゃない
今のようにSIMを差し替えていろいろな機種を使う時代の到来を
想定していないころの名残り
 
「電話番号」と「製造番号」で、「本人認証OK」は頭が足りない証拠
130名刺は切らしておりまして:2010/10/25(月) 13:33:19 ID:qrTzQ0oD
>>65
特定サイトに繋がなきゃいいつって
情報ぶっこ抜かれるの放置してたiphonてのがあったな
131名刺は切らしておりまして:2010/10/25(月) 13:41:14 ID:uEIoWjxn
携帯のネットワーク網をインターネットと勘違いしてるやつ多いな
ガラケーは直接TCP/IPで通信してるわけじゃない
ガラケーのネットワーク網が持ってるゲートウェイでインターネットに接続できるだけ

TLP(ティー・エル・ピー。Transport Layer Protocol)
http://dictionary.rbbtoday.com/Details/term2029.html

ALP(エー・エル・ピー。Application Layer Protocol)
http://dictionary.rbbtoday.com/Details/term1005.html
132名刺は切らしておりまして:2010/10/25(月) 13:42:44 ID:a7fbJ/2o
そもそもiPhoneは携帯ではないのだから、iPhoneから携帯サイトを見る(見たい)のが馬鹿
133名刺は切らしておりまして:2010/10/25(月) 13:42:57 ID:uEIoWjxn
TLP(ティー・エル・ピー。Transport Layer Protocol)
http://dictionary.rbbtoday.com/Details/term2029.html

 iモード用のトランスポート層プロトコル。通常のインターネット接続では、
PPPやTCP/IPなどのプロトコルを使用してデータ通信を行っていますが、
それらが携帯機単体で処理するには重いプロトコルであること、
さらに無線区間のデータ量や信号数を減らして効率化を図るために、
新たにiモード用のトランスポート・プロトコルとしてTLP(トランスポート層プロトコル)が開発されました。
M- PGW(Mobile-Packet Gateway、移動通信用パケット・ゲートウェイ)で、
インターネット側のTCPがiモードのTLPにプロトコル変換されます。
 TLPでは、コネクション型通信とコネクションレス型通信が可能です。
iモードのALP(Application Layer Protocol)が、HTTPリクエスト/レスポンス通信を
行う場合はコネクション型通信を行い、iモード・サーバから携帯機に着信通知を送る場合は
コネクションレス型通信を使用します。TLPの各信号には、誤り検出用にチェックサム(誤り検出に
用いるビット・パターン)が設定されています。
また、データ送信後はそのつどACK(Acknowledgment、送達確認)信号を待つ確認型通信を行います。
134名刺は切らしておりまして:2010/10/25(月) 13:44:59 ID:uEIoWjxn
ALP(エー・エル・ピー。Application Layer Protocol)
http://dictionary.rbbtoday.com/Details/term1005.html

 ALPは、iモード用のアプリケーション・プロトコルで、HTTP(HyperText Transfer Protocol、
ハイパーテキスト転送プロトコル)を一部変更したものです。
インターネットでは、HTMLファイルの取得はHTTPを用いて行われますが、
データ量の削減とiモード・サービス特有の機能を実現するため、
HTTPをベースとしたALPが新たに規定されています。
 HTTPからの主な変更点は次のとおりです。
 (1)無線通信サービス上不要となる、HTTPヘッダを付与しないことによってデータ量を削減していること
 (2)着信通知信号を追加したこと
 (3)HTTPを用いた電子メール送受信機能を実現していること
 ALPのフォーマットはHTTPと同一であるため、HTMLファイルの取得をiモード・サーバや
インターネット上のWebサイト・サーバから直接行うことが可能です。
 このプロトコルの機能は次のとおりです。
(1)プル(Pull)機能
 リンク選択やURL指定によってHTTPリクエスト(ファイル取得要求)信号を
サーバに送信します(プル機能)。
これに対応したサーバからのHTTPレスポンス(応答)信号を受信することによって、
情報(HTMLファイル)の取得を行います。
(2)プッシュ(Push)機能
 電子メールやIP(Information Provider、情報提供者)からメッセージが
iモード・サーバに届いた場合には、iモード移動機に対してiモード・サーバから
ALPの着信通知信号が送られます(プッシュ機能)。
iモード移動機がこの着信通知信号を受信した場合、メモリ容量にメッセージ保存領域があるか、
ないかを判断し、保存領域がある場合にはプル(Pull)機能を使ってHTTPリクエスト(メッセージ要求)を
iモード・サーバに送信し、それに対するHTTPレスポンス(メッセージ)を受信することによってプッシュ機能を実現しています。
135名刺は切らしておりまして:2010/10/25(月) 13:46:59 ID:9mTKhXW8
>>131
オマエが勘違いしてると思うけど
136名刺は切らしておりまして:2010/10/25(月) 13:47:23 ID:W1igpzbv
読売記者が理解できてないからこんなわけわからん記事ができちゃうんだって。

ここを読めって。
ttp://mobaphoto.blogspot.com/2010/10/yomiuri-onlineiphone.html
137名刺は切らしておりまして:2010/10/25(月) 13:55:38 ID:bsDR1Slh
>>111
電子キー全否定かよ
一意性が確保できるなら暗証番号キーより電子キーの方が強いぞ
138名刺は切らしておりまして:2010/10/25(月) 13:59:35 ID:fF9ITYLn
>問題はSBrowserよりも、サイト側(つまりヤマト運輸側)にある

>サイトに掲載する担当は別にいるそうで、書いたご本人も
>「こんな風に縮められるとは思わなかった」とのこと。

記者っていうよりデスクがアホなんだろ
139名刺は切らしておりまして:2010/10/25(月) 13:59:45 ID:uEIoWjxn
>>135
今までPCでこのような問題が起きなかったのは何故だと思う?
ガラケーのネットワーク網がインターネットではないからだ
ガラケーネットワーク網が持っているゲートウェイを介して
インターネットと相互のやり取りができただけのこと
140名刺は切らしておりまして:2010/10/25(月) 14:01:41 ID:o5Tekdzb
>136
>おすすめiPhoneアプリ「ラブプラスi」シリーズ
了解した
141名刺は切らしておりまして:2010/10/25(月) 14:03:15 ID:9mTKhXW8
>>139
ゲートウェイ通ってインターネットに出てってるってだけ
オマエが考えてるような仕組みとは違う
142名刺は切らしておりまして:2010/10/25(月) 14:03:32 ID:iklTtCs3
>>136
読んでもApple信者がiPhoneが悪くないニダとしか言って無いじゃん
記事書いた奴自体が理解してなくね?

          ____
       / \  /\ キリッ
.     / (ー)  (ー)\    <「専門家が言ったから問題はSBrowserよりも、サイト側(つまりヤマト運輸側)にある」
    /   ⌒(__人__)⌒ \
    |      |r┬-|    |
     \     `ー’´   /
    ノ            \
  /´               ヽ
 |    l              \
 ヽ    -一””””~~``’ー?、   -一”””’ー-、.
  ヽ ____(⌒)(⌒)⌒) )  (⌒_(⌒)⌒)⌒))
143名刺は切らしておりまして:2010/10/25(月) 14:10:00 ID:uEIoWjxn
>>141
iモードからPC向けのWebサイトにアクセスするとiモードの接続を切らないのに
毎回ページ更新するたびに携帯側のIPアドレスが変更される
iモードの接続を切らずにWebサイトのページ更新するだけで
Webサイト側が認識するIPアドレスが変わるのは何故だと思う?
それは端末が直接IPアドレスを持っているわけじゃないからだ
ゲートウェイがセッション単位でプロトコル変換してるから。

端末の識別に関してもiモードのブラウザはCookieがないからサーバ側ではIDで識別してるだけ
144名刺は切らしておりまして:2010/10/25(月) 14:12:06 ID:9mTKhXW8
>>143
オマエ素人過ぎて話にならない
145名刺は切らしておりまして:2010/10/25(月) 14:14:23 ID:uEIoWjxn
>>144
おまえがTCP/IPのネットワークの知識がないだけだろ
ガラケーのネットワークは明らかにTCP/IPとは別物
インターネットがTCP/IPを使って構築されていることもしらないんじゃないか?
146名刺は切らしておりまして:2010/10/25(月) 14:17:19 ID:9mTKhXW8
>>145
恥ずかしいからその辺でやめとけw
147名刺は切らしておりまして:2010/10/25(月) 14:18:16 ID:uEIoWjxn
知識がないから技術的な内容で突っ込めなんだろうな
148名刺は切らしておりまして:2010/10/25(月) 14:20:03 ID:9mTKhXW8
>>147
オマエの頭の中だけにあるんだろうな
カラゲーネットワークww
149 [―{}@{}@{}-] 名刺は切らしておりまして:2010/10/25(月) 14:21:23 ID:nG7tYVPv
>>145
クロネコヤマトのガラケー用サイトがガラケー以外からアクセスできるようになってたのはじゃあ何で?
そのガラケー用ネットワークの外にあったからじゃないの?なんで外に置いとくの?
150名刺は切らしておりまして:2010/10/25(月) 14:22:57 ID:EnJweenW
>>148
カラゲーネットワークww
151名刺は切らしておりまして:2010/10/25(月) 14:24:13 ID:uEIoWjxn
>>148
あまりいいソースがネット上にないけど

http://plusd.itmedia.co.jp/mobile/0104/27/ijava_14.html

 iモード端末(503iなどなど)は,実は直接インターネットにつながっているわけではない。
iモードでインターネットに接続する際には,NTTドコモの設備内にあるゲートウェイが利用される。

 たとえば,読者がhttp://foo.bar.co.jpをiモード端末で見ようとすると,実際にはゲートウェイがインターネットを通じてhttp://foo.bar.co.jpにアクセスしてデータをダウンロードし,そのデータを読者の端末に送る仕組みになっている。

 iモード端末とNTTドコモのゲートウェイの間には独自のプロトコルが使われており,
iモード端末自身がインターネットのプロトコルを処理しているわけではないという点がポイントだ。
iモード端末はNTTドコモのゲートトウェイを介して擬似的にHTTPを処理できるが,
それ以外のプロトコルは使えない。

 上記の理由で,iアプリでも,利用できるプロトコルはHTTP(またはセキュリティが追加されたHTTPS)プロトコルに制限されている。
152名刺は切らしておりまして:2010/10/25(月) 14:27:28 ID:9mTKhXW8
>>151
もういいよ。
ゲートウェイの意味が分かってないんだから。
153名刺は切らしておりまして:2010/10/25(月) 14:28:27 ID:uEIoWjxn
>>152
ゲートウェイとはプロトコル変換する装置のことだろ
iモードの独自プロトコルからインターネットのTCP/IPに変換する装置のこと
154名刺は切らしておりまして:2010/10/25(月) 14:29:01 ID:xg1LSqvo
登録してんだけど。最悪
155名刺は切らしておりまして:2010/10/25(月) 14:29:30 ID:9mTKhXW8
>>153
じゃあ、オマエの言う「カラゲーネットワーク網」ってのはどんなの?
156名刺は切らしておりまして:2010/10/25(月) 14:30:33 ID:uEIoWjxn
>>155
俺が例に挙げているのはiモードのこと
157名刺は切らしておりまして:2010/10/25(月) 14:33:31 ID:9mTKhXW8
>>156
i-modeで閲覧出来るサイトの事かな?
158名刺は切らしておりまして:2010/10/25(月) 14:34:16 ID:ihnCX8hc
これ別にiPhoneに限らず端末IDをユーザ認証に利用するような仕組を
使ってシステム構築してるのが糞ってだけだろ。
ちゃんとユーザIDとパスで認証かければいいだけ。
ニコ動アプリも出た当初これを指摘されてた。
159名刺は切らしておりまして:2010/10/25(月) 14:35:10 ID:+1buH/nu
携帯ブラウザは一旦キャリアのゲートウェイを通って、HTMLだとかプロトコルの変換をしてから、目的のウェブサーバにアクセスするのはホント
絵文字の変換とかもそこでする
160名刺は切らしておりまして:2010/10/25(月) 14:37:25 ID:Sd7iqtXA
一生懸命ガラパゴスの説明をされても困る
ソフトバンクの
iPhoneとかスマホとかは、「インターネット直結」なんだよ。
SSHだろうがなんだろうが、そのまま使えるんだよ
 
鎖国のドコモと一緒にしないでくれ
161名刺は切らしておりまして:2010/10/25(月) 14:47:35 ID:EphTAFmI
これって iPhone で禿回線を使った場合のメリットに見えてしまうんだけど
162名刺は切らしておりまして:2010/10/25(月) 14:48:38 ID:xg4V8D+C
iPhoneはpanda-world.ne.jpってリモホ弾けばどうにかなるけど
simフリーiPhoneにドコモsim刺した場合はゲートウェイ経由か?
それならip規制をすり抜けるから悪いことし放題じゃね?
ドコモやauのスマホはなんか規制してるん?
163名刺は切らしておりまして:2010/10/25(月) 14:48:53 ID:CrLgI8CL
やはりあいすとのT木ネタになるのだろうか。
164名刺は切らしておりまして:2010/10/25(月) 14:51:02 ID:+1buH/nu
それもちょっと違う
ガラパゴスって言われる普通の携帯もTCP/IPをしゃべる事は出来る
探せばSSHクライアントのiアプリもあるかもしれない
使ってるネットワークはキャリアが同じなら同じなんだから
ただiモードブラウザを使うと、普通のPCブラウザと違って、一旦キャリアのゲートウェイを通る
165名刺は切らしておりまして:2010/10/25(月) 14:51:08 ID:EphTAFmI
>>162
モペラなんかの、プロバイダIP になるんじゃなかろうか
166名刺は切らしておりまして:2010/10/25(月) 14:56:59 ID:ihnCX8hc
>>136を読んだけど結局ヤマト運輸がケータイ向けサイトでかんたんログイン・クイックログインを実装してるくせに
アクセス制限をIPで切ってなくてUAで制限するなんてアホなことをしてるから問題なんじゃん。
SBrowserってアプリは単にUAを偽装してアクセスをUAで切ってるケータイサイトが見れますよってだけのもの。
読売の記事の中身については読売のレベルの低さが出てしまっているというだけのこと。
まぁ、かんたんログイン・クイックログインがどういう物が知らなければオレの書いてる意味もわからないかもしれないけど。
167名刺は切らしておりまして:2010/10/25(月) 14:58:27 ID:xg4V8D+C
>>165
ならドコモは問題ないか
IS03 ケータイサイトでググったら
>一番驚いたのはブラウザの改修で、Android標準ブラウザにau版の改修を加えており、
>au携帯ブラウザ同様に3G接続時には端末識別情報を送出するようになっているとのこと。
これは・・・やばくね?
168名刺は切らしておりまして:2010/10/25(月) 15:01:18 ID:Bhq7AQNn
simがドコモならmoperaだな
169名刺は切らしておりまして:2010/10/25(月) 15:05:41 ID:ihnCX8hc
>>167
最近のmobile Webkitはみんなそういう仕様になってるはずだよ。
それに別に端末IDを送ることが問題なんじゃない。
オープンなネットワークの中で端末IDをユーザ認証に使うことが問題なんだよ。
170 [―{}@{}@{}-] 名刺は切らしておりまして:2010/10/25(月) 15:08:21 ID:nG7tYVPv
>>169
えっ、全部のサイトに端末ID送るの?
トラッキングクッキー要らずで閲覧先ダダ漏れじゃん
171 [―{}@{}@{}-] 名刺は切らしておりまして:2010/10/25(月) 15:12:43 ID:nG7tYVPv
>>167,170
ググったらガセじゃんか。ビックリした
http://blog.isnext.net/issy/archives/435
172名刺は切らしておりまして:2010/10/25(月) 15:14:37 ID:Sd7iqtXA
ガラケー固有識別番号自動送出のおかげで
ワンクリック詐欺の人たちなど大喜びです
 
どのアダルトサイトでいつクリックしたという識別された記録が一生残ります
173名刺は切らしておりまして:2010/10/25(月) 15:19:48 ID:xg4V8D+C
>>171
なんだガセネタかーwびっくりしたわ
追跡してくれてありがとう
174名刺は切らしておりまして:2010/10/25(月) 15:22:04 ID:ihnCX8hc
>>171
あれ?どこかでそういう仕様変更な話を見た気がするんだけど、間違ってたか?
すまん。
175名刺は切らしておりまして:2010/10/25(月) 15:33:51 ID:hOhQX9fr
>>171
ソフトバンク工作員は以前から
他社に対するガセ情報を流す手口を多用してるな。

本人が訂正してる情報でさえ
切り貼りして巧妙に事実と思い込ませようとしている。
176名刺は切らしておりまして:2010/10/25(月) 15:34:21 ID:TGIEKhse
っでだ、具体的な被害は?
177名刺は切らしておりまして:2010/10/25(月) 15:39:50 ID:a7fbJ/2o
>>176

>2. 影響範囲
  過去のデータを確認することで上記アプリケーションの影響調査は完了しており、1名のお客様が、2名のお客様からログインされたことが確認できました。該当のお客様については個別に対応いたしております。

ttp://www.kuronekoyamato.co.jp/info/info_101025.html
178名刺は切らしておりまして:2010/10/25(月) 15:50:11 ID:Sd7iqtXA
そんなことよりオークションでは
機種名と製造番号が同時に表記されているから
 
あれでは、成りすまそうと悪意を持った犯人にとって
かもねぎ状態だ。
179名刺は切らしておりまして:2010/10/25(月) 16:14:10 ID:iuL5+zp/
ガラパゴス携帯のセキュリティ上の脆弱性に依存する問題なのに、この記者は何でiPhoneが悪いみたいな記事書いてんの?
180名刺は切らしておりまして:2010/10/25(月) 16:20:21 ID:hOhQX9fr
はいはいガラケーガーガラケーガーwww
181名刺は切らしておりまして:2010/10/25(月) 16:20:27 ID:Sd7iqtXA
さすがITメディアの記事は、読売よりはるかに正確だな。
 
>契約者固有IDは、1つの端末からすべてのサイトに対して
>同一の値が送出されるため、プライバシー上の問題と
>セキュリティ上の問題がある。
>クイックログインは実装方法や運用方法によっては
>セキュリティ上の問題があるとされ、
>専門家からは懸念の声が上がっていた。
182名刺は切らしておりまして:2010/10/25(月) 16:58:38 ID:XcZA69k1
>>167
仮にそのデマそのまんまの仕様でも何もまずくないんだけどね。
auもドコモも禿も端末側が送出した個体識別IDは信用しないで問答無用でGWで書き換えるから。
183名刺は切らしておりまして:2010/10/25(月) 17:04:10 ID:av+8jJX2
>>174
俺もauのAndroidはID送るように変更されてるってどっかで読んだ気がする。
184名刺は切らしておりまして:2010/10/25(月) 17:27:39 ID:hOhQX9fr
>>181
つまり「問題のある実装方法」をやっちゃったわけだ。
185名刺は切らしておりまして:2010/10/25(月) 17:32:08 ID:o5Tekdzb
>181
逆に言うと実装方法と運用方法がしっかりしていれば、便利な機能と言うことでいいのか?
186名刺は切らしておりまして:2010/10/25(月) 17:49:15 ID:Sd7iqtXA
>>185
基本的には問題が無い。
「端末がパスワードを持っていてくれる」のだから
パソコンがパスワード記憶してくれるのと大差ない。
 
問題は、流出しても誰にもそのパスワードを変えられないことと
「勝手サイト」などログインが不要な相手にも、UserAgent情報と一緒に
その「パスワード」が平文で渡されてしまうこと
187名刺は切らしておりまして:2010/10/25(月) 17:52:18 ID:6UMxhX0T
てすと
188名刺は切らしておりまして:2010/10/25(月) 17:56:16 ID:8crbdZDb
>>185
微妙
ドコモが自分から穴開けたことがあるくらいだから
N-06A3とかもうね
189名刺は切らしておりまして:2010/10/25(月) 17:59:20 ID:8crbdZDb
>>186
あのな、PCでパスワードを扱うときは必ずハッシュをとるんだよ
平文の時点で論外
190名刺は切らしておりまして:2010/10/25(月) 18:00:37 ID:bsDR1Slh
>>185
N速+のほうで書かれてるが、キャリアのサーバがOAuth的な振る舞いをすれば問題は解決する。
182の言ってることが本当で個体識別IDをドメインごとに問答無用で書き換えて送出しているならそれは半分達成されている
191名刺は切らしておりまして:2010/10/25(月) 18:32:38 ID:vpL+Xbsy
今回は禿携帯GW通してないから偽装できたけど、自称UIDは茸も庭も禿も
基本的にはキャリアGW通せば破棄されるよ

…ところで、相手サーバのFWが「いずれかの携帯IPならパス」という状況で
キャリアAのUIDを自称してキャリアBのGW通ったらどうなると思う?
192名刺は切らしておりまして:2010/10/25(月) 18:51:46 ID:iklTtCs3
キャリアBのGW通す時点でUID詐称出来てしまうならキャリアBがUID詐称できない環境にすべきだろ
193名刺は切らしておりまして:2010/10/25(月) 19:03:34 ID:xz/KaSwt
それがUIDってキャリアごと仕様がまちまちでな
SSLは原理的に覗けないし責任ないし
194名刺は切らしておりまして:2010/10/25(月) 19:38:52 ID:dNM03lpJ
アクセス受ける企業が対策してないのが問題?それともアクセスする端末が問題?
195名刺は切らしておりまして:2010/10/25(月) 19:47:11 ID:Sd7iqtXA
携帯固有IDを強制的に垂れ流す、日本のケータイ全体の仕組みが問題。

当然、AndroidやiPhoneにはそういうものがないから
IDをシミュレートするしかない。
そうした海外製携帯では同一IDを使ってしまうことはありうる。
196名刺は切らしておりまして:2010/10/25(月) 20:08:06 ID:hOhQX9fr
>>195
出来もしないことを無理にやろうとしたからだな
197名刺は切らしておりまして:2010/10/25(月) 21:07:36 ID:evct2AQP
>>194
対策してないのが問題
198名刺は切らしておりまして:2010/10/25(月) 23:15:48 ID:av+8jJX2
docomoの端末がクッキー食えなくて、まともな簡単ログインが実装できないのが原因。
http://takagi-hiromitsu.jp/diary/20100520.html
199名刺は切らしておりまして:2010/10/26(火) 03:11:34 ID:gINVY+gW
wasabiの一文字も出てこないとはな
200名刺は切らしておりまして:2010/10/26(火) 08:27:21 ID:QeJfH3wb
早くSIMフリーにならないかな
201名刺は切らしておりまして
なったところでまともに使える保証が無い