iモードブラウザ2.0のアップデートにより閲覧できないサイトが発生 34
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
鈴の音情報局blogで話題にしているが、2009年夏のiモードブラウザ2.0搭載機種に10月27日以降に開始されたJavaScriptの再有効化アップデートを当てた端末は、
iモードブラウザ、フルブラウザ共にポート0〜1023のウェルノウンポートのhttpの80番以外に接続ができなくなった。
事前の告知もなく、未だにiモードブラウザ2.0の仕様にも記述がないことからユーザーの一部で混乱が起きている。
ドコモに問い合わせをしたが、何番ポートはアクセスできなくなったかなどについては教えられないという回答をされたという声もあるようだ。
JavaScriptの再有効化とセットで(?)なぜアクセス制限をしなければならなかったのか、なぜドコモはこれほどの大きな仕様変更を隠し続けるのか、識者の見解を伺いたいところだ。
少なくとも (スコア:5, すばらしい洞察)
DoCoMoが正式発表していないなら「不具合」として連絡すればいいんじゃないのかなぁ
報告や修理依頼wが増えれば何かの対応に迫られるんじゃないかな?と。
DoCoMo(オフトピ) (スコア:2, おもしろおかしい)
ドコモのロゴが小文字になったのは結構最近のことだと思うけど、
こうやって見るとずいぶん久々に見た気がしますね、DoCoMoって表記のしかた。
本当に仕様なの? (スコア:3, おもしろおかしい)
Re: (スコア:0)
まあ間違いなくサポート窓口の人が本当の理由(バグなのか仕様なのか)なんてわかるわけないし、かなり技術寄りの人だってまだ追っかけている段階じゃないかと。
Re: (スコア:0, すばらしい洞察)
故意にその様に制限している事が明らかになっても、
その制限を、いつ、誰が、どうやって決定したのか、社内の誰も知らない、とか。
# auやDocomoのガバナンスなら不思議じゃない
Re: (スコア:0)
皮肉で書いてるんだと思うけど、SBのガバナンスじゃあるまいし
ありえないでしょう。
Re: (スコア:0)
Re: (スコア:0, すばらしい洞察)
混乱してるのは一部のヲタだけかと。
#混乱してる本人には「自分が混乱してる」とは理解できないだろうけど。
こっそりと更新する体質 (スコア:3, 参考になる)
iモードブラウザ 2.0の仕様ページは最近更新されてないだけかと思いましたが、違うようです。
なりすましが指摘されていた [tokumaru.org]setRequestHeaderメソッドは今回のアップデートで無効化されました [mpw.jp]。(告知なし)
それにともない、ドコモのiモードブラウザ 2.0の仕様ページは少なくとも2009年11月2日 01:13:43 GMT以降に更新されています。
2009年11月2日 01:13:43 GMT時点ではsetRequestHeaderの記載がある [74.125.153.132]
現在はない [nttdocomo.co.jp]
Re:こっそりと更新する体質 (スコア:1, 参考になる)
alert、confirm、promptも無効化されていますよ。
80番ポート (スコア:2)
Re: (スコア:0)
これ使えないと、「セキュアっぽい」サイトが作れなくて面倒です
あとはポートベースのヴァーチャルホストかなぁ。普通は8080とかでウェルノウン使わないけど。
Re:80番ポート (スコア:3, 参考になる)
警告が出ても進んでください脳ですか。ドコモも他キャリアと同じようにブロックしちゃえばいいのに。(ドコモは証明書が不正でも、警告が出るもののアクセスできる。au/SoftBankはエラーになってアクセスできない。)
閑話休題
http://www.example.com:443/ は繋げました(笑。片手落ちだなあ。どうせならhttpは80、httpsは443オンリー(除く1025~)とかすればいいのに。
あ、当然 https://www.example.com/ (Port443) は繋げます。
Re: (スコア:0)
という発想でドコモの中の人も安易に制限かけたんだろうなあ。
ぜひドコモのサポート窓口に行って、クレーマーどもにびしっと言ってやってください。
Firefoxも制限してる (スコア:1, 興味深い)
もちろん「80以外のwell-known port全部」なんて横暴なホワイトリストではないし、何を制限しているのかは公開されてる [mozilla.org]けど。
Squid も制限してる (スコア:2)
とりあえず、うちで使ってるの。
OP25B [wikipedia.org]みたいなものではと。
正式な仕様だそうです (スコア:1, 参考になる)
正式発表されました。 [nttdocomo.co.jp]
以下引用。
特定ポートへのHTTP/HTTPSリクエストについて
下記ポートへのHTTP/HTTPSリクエストについてはアクセス制限がかかりますのでご注意ください。
* 80(HTTP)、443(HTTPS)を除く、1024以下のポート
* 2049(nfs)
* 4045(Lockd)
* 6000(x11)
javascriptで動的にリンクを生成して (スコア:0)
どこかへhttp以外でのDDoS攻撃させることが可能なスクリプトが組める
とか?
Re:javascriptで動的にリンクを生成して (スコア:2, 興味深い)
Re: (スコア:0)
i-mode のネットワークってプライベートネットワークだし、ベアラも非公開だから IP レベルでつなぐことすら至難の技ですよ。
i アプリは iアプリをダウンロードしたホストとその時のポート以外へのアクセスが出来ない仕様ですんで、i-mode のネットワークに外からつなぐ手段がみつかっただけでも i-mode サービスの根幹をゆるがすとんでもないセキュリティホールなんですけど。
Re:javascriptで動的にリンクを生成して (スコア:1)
Re: (スコア:0)
アクセスする側で制限 (スコア:0)
アクセスされる側で制限するのは分かるけど、
アクセスする側でポート制限するというのは、通常どういう意義があるんでしょうか?
おしえてえらいひと。
Re:アクセスする側で制限 (スコア:3, すばらしい洞察)
鯖がパッチしきれていない。iモードネットワーク内のどこかに深刻な脆弱性を抱えたサーバが居るかも知れず、iモード端末にJTAGを繋ぐことに成功する者が一人でもいればそのサーバはクラックされ、利用者は自ら端末を所有しながら自衛することすら(ひょっとしたら法的にも)許されていない。
これYROに行くべきネタじゃない? そもそもXmlHttpRequestでクラックできたってだけでもiモードの課金サービスを止めるべきってレベルの話なのに、端末側だけこっそり土嚢積んでろくな対策もせず表向きは機能追加しただけってふざけてる。つかとっととこんな阿呆サービスは潰してPCでもSIMフリーでも使えるようなセキュアで開けてまともなのを立ち上げるべき。
Re: (スコア:0)
すまん。
これは事実かね。過分にしてまだ公のニュースとしては聞いたことがないのだが。
Re:アクセスする側で制限 (スコア:1, 参考になる)
そんな上から目線で聞かなくても。
”XmlHttpRequest iモード 課金”でぐぐれよ。
Re:アクセスする側で制限 (スコア:1, おもしろおかしい)
Re: (スコア:0)
元コメントしたものです。大笑いしてしまいました…。恐るべしgoogle
Re:アクセスする側で制限 (スコア:1, おもしろおかしい)
Re: (スコア:0)
Re: (スコア:0)
iPhoneユーザーです。
すっかり飼い慣らされてるじゃん!
Re:i-modeなんて使わない。 (スコア:1)
Re: (スコア:0)
Appleには飼い慣らされてるってことだろ