アカウント名:
パスワード:
関連ストーリーのドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 [srad.jp]とキャリアが違うだけの同じ話に見えますが、違うかなそうすると対処法も一緒?
さらに、一部の機種では、setRequestHeaderメソッドによりHostフィールドを書き換え可能なものがあり、この場合は、従来推奨していた「Hostフィールドのチェック」によるアプリケーション側での対策がとれないことがわかった。
この部分ですか。これでは防ぎようがないですね。
ガラケーでは通信を行うと自動でユーザーIDが添付されますから、攻撃者の勝手サイトに設置したJavaScriptからなんとかして公式サイトにアクセスさせるだけで、アクセスした公式サイトへのログインが完了してしまいます。で、その結果を攻撃者のサイトに転送するなり何なりすれば個人情報げっちゅ。ウハウハ。で、その「なんとかして別サーバーにアクセスさせる」ために「DNSリバインディング」を使うことができる。ここまでドコモと一緒。
で、ドコモの場合は、ヘッダのHOSTを書き換えることができないので、そこをチェックすればサーバー側で止められたのですが、ソフトバンクの場合には、ヘッダのHOSTすらもJavaScript側で書き換え可能なので、サーバー側で判定することはできないらしい。対策は端末でスクリプトをOFF。
通信するだけでログイン完了ってのは実に恐ろしいですね・・・。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
関連ストーリーと一緒の内容ですよね (スコア:2)
関連ストーリーのドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 [srad.jp]とキャリアが違うだけの同じ話に見えますが、違うかな
そうすると対処法も一緒?
Re:関連ストーリーと一緒の内容ですよね (スコア:2, 参考になる)
Re:関連ストーリーと一緒の内容ですよね (スコア:3, 参考になる)
この部分ですか。
これでは防ぎようがないですね。
Re:関連ストーリーと一緒の内容ですよね (スコア:3, 興味深い)
ガラケーでは通信を行うと自動でユーザーIDが添付されますから、
攻撃者の勝手サイトに設置したJavaScriptからなんとかして公式サイトにアクセスさせるだけで、
アクセスした公式サイトへのログインが完了してしまいます。
で、その結果を攻撃者のサイトに転送するなり何なりすれば個人情報げっちゅ。ウハウハ。
で、その「なんとかして別サーバーにアクセスさせる」ために「DNSリバインディング」を使うことができる。
ここまでドコモと一緒。
で、ドコモの場合は、ヘッダのHOSTを書き換えることができないので、そこをチェックすればサーバー側で止められたのですが、
ソフトバンクの場合には、ヘッダのHOSTすらもJavaScript側で書き換え可能なので、サーバー側で判定することはできないらしい。
対策は端末でスクリプトをOFF。
通信するだけでログイン完了ってのは実に恐ろしいですね・・・。