パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ヤマト運輸のモバイルサイトで「自分のものでないIDでログインできる」問題発生」記事へのコメント

  • ヤマトだけ? (スコア:2, すばらしい洞察)

    by Anonymous Coward
    まさかこれヤマトに限らず「クイックログイン」できるサイト全部に共通する話?
    • Re: (スコア:2, 参考になる)

      ユーザ認証に「端末ID」を使っているサイトで発生するおそれがあるのではないかと思います

      • Re: (スコア:2, 参考になる)

        by Anonymous Coward
        正確には「端末IDだけ」使っているサイトですかね。

        #他の項目があったら、クイックログイン成立しないけど
        • Re: (スコア:2, すばらしい洞察)

          by Anonymous Coward

          「端末IDとどこからアクセスしてるか」の組み合わせでは。
          端末IDだけならこれまでもPCで偽装しようと思えばできたわけだし。

          スマートフォンなんてものが出回って、携帯電話会社のネットワークから偽装したブラウザでアクセスできるようになるとは思わなかったんでしょうね。

          • Re: (スコア:4, 参考になる)

            いいえ。iPhoneの3G接続での接続元IPアドレスはいわゆるガラケーのものとは全く違います。携帯電話用に割り当てられたアドレスではありません
            当然ですよね。ガラケーはセンターで一括したゲートウェイから出て行きますが、スマートフォンは基本的に端末側にグローバルIPアドレスがつきますから。
            つまり、サーバ側は端末側が自己申告した情報のみで振り分けており、PC上で同様の携帯電話エミュレータ等を用いて接続すると同様の問題が起きる可能性があると言うことです。もっと言えばクローラーを用いて個人情報抜き取り放題です。

            FYI: SBM発表の携帯電話アクセス元 [softbank.jp]には
            ・Yahoo!ケータイからのアクセス

            123.108.237.0/27
            202.253.96.224/27
            210.146.7.192/26
            210.175.1.128/25

            --
            # rm -rf ./.
            • by MCSM (16871) on 2010年10月25日 13時18分 (#1847035)

              auさんとかDoCoMoさんでも、スマートフォンは別IPからのアクセスなんですよね?
              でもスマートフォンから、携帯メール出来ますよってモード(DoCoMoさんだとSPモード?)だと携帯のネットワーク内に入る事になるんですかね?

              そうなるとIPアドレスで判定していても、やっぱり判定不能という事に・・・

              スマートフォンが無いので、この辺よくわかっていないので申し訳無いですが。
              スマートフォン利用の方、教えて頂けますと幸いです。

              親コメント

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...