アカウント名:
パスワード:
スマートフォン以外の携帯電話で同じようなことが起きるおそれはないんでしょうか例えば
携帯電話で利用登録して「かんたんログイン」機能を使えるようにする↓登録したことを忘れる↓その端末を機種変して売っぱらう↓中古屋で端末を入手↓前所有者と同じサイトにアクセス↓「かんたんログイン」が使える(登録内容は前所有者の情報)
それは端末の識別番号が何に紐付いているかに依ります。
# ちょっとググったらこんなのありました。# 公式コンテンツ・サービスは端末のIDと紐付いているのか、それともSIMカードのIDと紐付いているのでしょうか?# http://q.hatena.ne.jp/1256050594 [hatena.ne.jp]
AUはSIM縛りがアレなのでよくわかりませんが、機種変して古い端末に別のSIMをさして使えば、別の識別番号になる場合がほとんどな気がするので、そこまで簡単では無いかと。まぁ、いずれにしても端末の識別番号はAmazonでいうところの「こんにちは、○○さん」とかログインID入力済みとか、その程度の紐付けにしか使っちゃダメで、必ずパスワードを入力させないといけません。個人情報とかと結びつかない、どうでもいい情報だけならいいかもしれないけど。
というかガラキャリ専用のIPアドレス制限してないと、普通にHTTPヘッダ偽装で簡単に総当たり攻撃が可能です。気になる人はFirefoxのFireMobileSimulatorとLiveHttpHeadersで色々見てみましょう。
>気になる人はFirefoxのFireMobileSimulatorとLiveHttpHeadersで色々見てみましょう。そのFireMobileSimulatorですが、デフォルトのUID設定のまま使用してる人が居るみたいです。
私自身UID変更しないまま、とあるサイトに行ったところ勝手にログイン。メールアドレスとニックネーム、住所の設定項目(空欄でした)が丸見えに。ログインパスワードの変更も可能そう?でした。もちろん、面倒な事になると嫌なんでそれ以上は触りませんでしたよ。
というかガラキャリ専用のIPアドレス制限してないと、
Softbankの一般ガラキャリとiPhoneのIPアドレスってはっきり区別できるんだろうか調べてみるとiPhoneのIPはちょくちょく変わってるようなので、「Softbankが保持するIPからは全部受け入れ」にしてもiPhoneからの偽装には対応できなくなる気がする
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
ふと思ったのだけど (スコア:2, 興味深い)
スマートフォン以外の携帯電話で同じようなことが起きるおそれはないんでしょうか
例えば
携帯電話で利用登録して「かんたんログイン」機能を使えるようにする
↓
登録したことを忘れる
↓
その端末を機種変して売っぱらう
↓
中古屋で端末を入手
↓
前所有者と同じサイトにアクセス
↓
「かんたんログイン」が使える(登録内容は前所有者の情報)
Re:ふと思ったのだけど (スコア:3, 参考になる)
それは端末の識別番号が何に紐付いているかに依ります。
# ちょっとググったらこんなのありました。
# 公式コンテンツ・サービスは端末のIDと紐付いているのか、それともSIMカードのIDと紐付いているのでしょうか?
# http://q.hatena.ne.jp/1256050594 [hatena.ne.jp]
AUはSIM縛りがアレなのでよくわかりませんが、
機種変して古い端末に別のSIMをさして使えば、別の識別番号になる場合がほとんどな気がするので、
そこまで簡単では無いかと。
まぁ、いずれにしても端末の識別番号はAmazonでいうところの「こんにちは、○○さん」とかログインID入力済みとか、
その程度の紐付けにしか使っちゃダメで、必ずパスワードを入力させないといけません。
個人情報とかと結びつかない、どうでもいい情報だけならいいかもしれないけど。
というかガラキャリ専用のIPアドレス制限してないと、普通にHTTPヘッダ偽装で簡単に総当たり攻撃が可能です。
気になる人はFirefoxのFireMobileSimulatorとLiveHttpHeadersで色々見てみましょう。
Re:ふと思ったのだけど (スコア:1, 参考になる)
>気になる人はFirefoxのFireMobileSimulatorとLiveHttpHeadersで色々見てみましょう。
そのFireMobileSimulatorですが、デフォルトのUID設定のまま使用してる人が居るみたいです。
私自身UID変更しないまま、とあるサイトに行ったところ勝手にログイン。
メールアドレスとニックネーム、住所の設定項目(空欄でした)が丸見えに。
ログインパスワードの変更も可能そう?でした。
もちろん、面倒な事になると嫌なんでそれ以上は触りませんでしたよ。
Re: (スコア:0)
Softbankの一般ガラキャリとiPhoneのIPアドレスってはっきり区別できるんだろうか
調べてみるとiPhoneのIPはちょくちょく変わってるようなので、「Softbankが保持するIPからは全部受け入れ」にしてもiPhoneからの偽装には対応できなくなる気がする
Re: (スコア:0)
明確に区別できます。
なので、今回の話はクロネコヤマトのサイトがちゃんと分けていれば問題なかったはず。