Re:「@写メール」自体にも別のセキュリティホール？ (#134374) | auの携帯電話にReferer誤送出の欠陥、KDDIは回収せず

「auの携帯電話にReferer誤送出の欠陥、KDDIは回収せず」記事へのコメント

記事ページを表示すべてのコメント取得

検索36コメント Log In/Create an Account

「@写メール」自体にも別のセキュリティホール？ (スコア:3, 興味深い)

by jbeef (1278)

発見者の報告 [nifty.ne.jp]（ミラー）によると、
この件とは直接は関係ないが、@sha-mailでは本文に「＜a href=...＞... ＜/a＞ここ見て」とHTMLで記述し、送信すると受信側ではハイパーリンクになり便利なのだが、やはりメールのURLが漏洩する

とあります。私は確認していないのですが、これは、
「@写メール」による受信メールを、 Referer機能のあるブラウザで読みに行き、そこにあるリンクを辿ると、リンク先のサイトの人にもそのメールの内容（例えば、そのリンク先の陰口をたたいているのを）を見られてしまう。

ということを意
- Re:「@写メール」自体にも別のセキュリティホール？ (スコア:1)
  
  by tomatsu (2545)
  
  携帯電話のHTTPやHTMLの解釈は、お話にならないほど低水準のものです。
  
  にもかかわらず、HTTPやHTMLの規格をフル装備していても完璧な実装は不可能な「セッション」を実現させたがる。
  
  頭が悪いとしか言いようがない。
  - Re:「@写メール」自体にも別のセキュリティホール？ (スコア:1)
    
    by wadatch (6649) on 2002年07月28日 11時36分 (#134374) 日記
    
    利用者は携帯電話でWebにアクセスできると言われると、画面上の制約は考えても、それ以上は考えつかないのは仕方ないことだと思います。
    
    ただ、クッキーも全キャリア対応でもない、Referも吐いてくれない端末と吐く端末がある、UserAgentも同じキャリアでも記述方式が変わることがある、キャリアが端末の利用するIPを教えてくれないetc...という状況でセッション管理？と言いたくなるのもまた事実。勘弁して欲しいです。
    
    シェア
    
    親コメント
    - Re:「@写メール」自体にも別のセキュリティホール？ (スコア:0)
      
      by Anonymous Coward
      
      「キャリアが端末の利用するIPを教えてくれない」ってauの場合は以下の資料で良いですか?
      「EZサーバのIPアドレス帯域」
      http://www.au.kddi.com/ezfactory/tec/spec/ezsava_ip.html [kddi.com]
      それとも違う事指しているのかな...
      - Re:「@写メール」自体にも別のセキュリティホール？ (スコア:0)
        
        by Anonymous Coward
        
        その意味かどうかは知りませんが、その意味であれば
        ちなみにi-modeはこっちです
        http://www.nttdocomo.co.jp/mc-user/i/ip.html [nttdocomo.co.jp]
        J-PhoneはNDA下情報でした…

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

auの携帯電話にReferer誤送出の欠陥、KDDIは回収せず More ログイン

「auの携帯電話にReferer誤送出の欠陥、KDDIは回収せず」記事へのコメント

「@写メール」自体にも別のセキュリティホール？ (スコア:3, 興味深い)

Re:「@写メール」自体にも別のセキュリティホール？ (スコア:1)

Re:「@写メール」自体にも別のセキュリティホール？ (スコア:1)

Re:「@写メール」自体にも別のセキュリティホール？ (スコア:0)

Re:「@写メール」自体にも別のセキュリティホール？ (スコア:0)

スラド