mpw.jp管理人のBlog へのコメント http://mpw.jp/blog 携帯電話に関する技術的な話題など Tue, 9 Mar 2010 18:28:04 +0900 http://wordpress.org/?v=2.8.4 hourly 1 mpw.jp管理人 より docomo IDのOpenID対応の危険性 へのコメント http://mpw.jp/blog/2010/03/247.html/comment-page-1#comment-194 mpw.jp管理人 Tue, 09 Mar 2010 18:28:04 +0000 http://mpw.jp/blog/?p=247#comment-194 ドコモ社内から、このblogへのアクセスが相当数ありますので、今回の件が本当にマズイ場合は適切な対処がなされるかと思います。 ドコモ社内から、このblogへのアクセスが相当数ありますので、今回の件が本当にマズイ場合は適切な対処がなされるかと思います。

]]> 姫 より docomo IDのOpenID対応の危険性 へのコメント http://mpw.jp/blog/2010/03/247.html/comment-page-1#comment-193 Tue, 09 Mar 2010 17:39:42 +0000 http://mpw.jp/blog/?p=247#comment-193 ドコモに連絡した方がいいんじゃない? ドコモに連絡した方がいいんじゃない?

]]> App より au端末の通信速度が遅い原因 へのコメント http://mpw.jp/blog/2009/10/4.html/comment-page-1#comment-160 App Mon, 15 Feb 2010 08:54:26 +0000 http://mpw.jp/blog/?p=4#comment-160 んじゃ、ソフトバンクも速度が出ていないんじゃ・・・ んじゃ、ソフトバンクも速度が出ていないんじゃ・・・

]]> 姫 より ドコモはiモードIDの生成方法を見直すべきだ へのコメント http://mpw.jp/blog/2009/11/207.html/comment-page-1#comment-120 Fri, 05 Feb 2010 20:10:43 +0000 http://mpw.jp/blog/?p=207#comment-120 もしかしてこれの被害事例でしょうか? http://nat-q.jp/ctg3/q_detail.php?no=10340 この脆弱性をつかって マイメニュー登録やiモード個別決済を ユーザのしらないところで行うことは出来ますか? (被害者のiモードパスワードが初期値の「0000」の場合という条件で) もしかしてこれの被害事例でしょうか?
http://nat-q.jp/ctg3/q_detail.php?no=10340

この脆弱性をつかって
マイメニュー登録やiモード個別決済を
ユーザのしらないところで行うことは出来ますか?
(被害者のiモードパスワードが初期値の「0000」の場合という条件で)

]]> mpw.jp管理人 より ドコモはiモードIDの生成方法を見直すべきだ へのコメント http://mpw.jp/blog/2009/11/207.html/comment-page-1#comment-96 mpw.jp管理人 Fri, 22 Jan 2010 17:09:27 +0000 http://mpw.jp/blog/?p=207#comment-96 > auサイトにはau端末、SBMサイトにはSBM端末を使って攻撃ということなのでしょうか? こちらになります。 > auサイトにはau端末、SBMサイトにはSBM端末を使って攻撃ということなのでしょうか?

こちらになります。

]]> 姫 より ドコモはiモードIDの生成方法を見直すべきだ へのコメント http://mpw.jp/blog/2009/11/207.html/comment-page-1#comment-95 Fri, 22 Jan 2010 06:54:51 +0000 http://mpw.jp/blog/?p=207#comment-95 >なお、「iモードID」だけではなく、「EZ番号」や「x-jphone-uid」のみでユーザー認証を行っている携帯サイトでも同様に攻撃可能です。 すいません auサイトやSBMサイトでも攻撃可能というのは iモード機を使っての攻撃という事なのでしょうか? それとも auサイトにはau端末、SBMサイトにはSBM端末を使って攻撃ということなのでしょうか? (auやSBMにも同じ脆弱性がある) 例えばauだと EZ番号を送信する必要があるわけでiモード機からEZ番号を送信することはないことから 後者だと判断していたのですが違うのでしょうか? >なお、「iモードID」だけではなく、「EZ番号」や「x-jphone-uid」のみでユーザー認証を行っている携帯サイトでも同様に攻撃可能です。

すいません
auサイトやSBMサイトでも攻撃可能というのは
iモード機を使っての攻撃という事なのでしょうか?

それとも
auサイトにはau端末、SBMサイトにはSBM端末を使って攻撃ということなのでしょうか?
(auやSBMにも同じ脆弱性がある)

例えばauだと
EZ番号を送信する必要があるわけでiモード機からEZ番号を送信することはないことから
後者だと判断していたのですが違うのでしょうか?

]]> 気になった記事(20091124) [ほほほのほ] より iモード専用サイトのhtmlソースの閲覧方法 へのコメント http://mpw.jp/blog/2009/11/188.html/comment-page-1#comment-55 気になった記事(20091124) [ほほほのほ] Wed, 23 Dec 2009 17:00:33 +0000 http://mpw.jp/blog/?p=188#comment-55 [...] iモード専用サイトのhtmlソースの閲覧方法 [...] [...] iモード専用サイトのhtmlソースの閲覧方法 [...]

]]> shao より PCのブラウザからのYahoo!ケータイへのアクセス へのコメント http://mpw.jp/blog/2009/11/179.html/comment-page-1#comment-50 shao Wed, 16 Dec 2009 16:15:33 +0000 http://mpw.jp/blog/?p=179#comment-50 スマートフォンに限らず、既知のAPN, ID, パスワードを設定して適当なソフトバンク機からUSBやBluetoothでダイヤルアップするだけでWAPプロクシの後ろ側に入り込むことができたりするのが現実です。 そのため、現時点で詐称が可能なノキアやサムソンのUAをはじく公式サイトとかが現状でいくつか確認されています。 ちなみにDRMはDRMキーがSMS経由で届く仕組みだったりしますので、そこまで問題にはなりません。 #登録可能化という意味において。ファイルそのものは暗号化されてなくてMIMEのマルチパートなので平文です スマートフォンに限らず、既知のAPN, ID, パスワードを設定して適当なソフトバンク機からUSBやBluetoothでダイヤルアップするだけでWAPプロクシの後ろ側に入り込むことができたりするのが現実です。
そのため、現時点で詐称が可能なノキアやサムソンのUAをはじく公式サイトとかが現状でいくつか確認されています。

ちなみにDRMはDRMキーがSMS経由で届く仕組みだったりしますので、そこまで問題にはなりません。
#登録可能化という意味において。ファイルそのものは暗号化されてなくてMIMEのマルチパートなので平文です

]]> mpw.jp管理人 より iモード専用サイトのhtmlソースの閲覧方法 へのコメント http://mpw.jp/blog/2009/11/188.html/comment-page-1#comment-45 mpw.jp管理人 Sun, 13 Dec 2009 16:50:04 +0000 http://mpw.jp/blog/?p=188#comment-45 分かりませんので、ご使用されてるホスティングの運営会社にお問い合わせください。 分かりませんので、ご使用されてるホスティングの運営会社にお問い合わせください。

]]> やまだ より iモード専用サイトのhtmlソースの閲覧方法 へのコメント http://mpw.jp/blog/2009/11/188.html/comment-page-1#comment-43 やまだ Sat, 12 Dec 2009 19:39:45 +0000 http://mpw.jp/blog/?p=188#comment-43 >>9 はどうすればいいのでしょうか? >>9
はどうすればいいのでしょうか?

]]>