この広告は、90日以上更新していないブログに表示しています。

2008-07-07

WAS Forum Developer Dayに行ってきました #3

event

飄々とした感じで登場されて、スーツの人が多い中最初スベった感があったんですが、徐々に人惹きこんでいく話術はさすがだなー、と思いました。

携帯電話向けWebのセキュリティ

• GREEのふじもとさん
  • この後結婚式だからスーツ
  • 自転車はGIANTがオススメ

携帯電話向けWeb

• GREEが携帯電話向けにシフトしたとたんトラフィックが凄い

携帯ブラウザはへろへろ

• リファラこないかも
  • auとsoftbankはくるかも
• Cookie使えません
  • auは使える/softbankは機種による
• Cookie使えない=セッションパラメータをURLに付与
• リファラ送出で簡単にセッションID漏洩

GREEの対策

• そもそも他サイトにリンクさせない
  • これ重要(公式では必須)
    • タグレンダリングするときはマジメにparseしてチェック＠GREE
  • 端末不具合の問題もある
• セッション格納情報でチェック
  • UserAgent
  • 端末固有情報
• SIDを変えまくる
  • ユーザは日記に今見てるURLを貼りまくる

その他

• Shift_JIS
• タグとか書いてそう
• js動かない

携帯からはHTMLソースが読めない？

• 携帯ブラウザからは読めない
• JavaなアプリやBREWは？
  • 一応大丈夫なはず
• スマートフォンは？
• 当然、HTMLソースは読まれる前提で実装

IPアドレス帯域

• キャリア毎に帯域が決まっている
• この制限は絶対に必要
• これを外すとものすごい勢いでいろんな前提が崩れる
• UserAgentだけで判別とかは無し
• アップデートが頻繁にあるので、はてなアンテナとかでチェックしてる

端末固有情報

• au
  • EZ番号
• DCM
  • iモードID
  • 端末固有番号はもう使わない
• SBM
  • X-JPHONE-UID
• HTTPヘッダでやりとり
• 任意で非送信も可

固有情報は偽装されるのか？

• 今のところ任意の偽装は難しそう
  • ドコモの帯域チェックとか重要
• じゃあセッションハイジャックは防げる？
  • iモードID以外は(guid=on)つければいいんですが
• IP Spoofingの可能性
• 100%を保証されている訳ではない

端末固有情報は一意？

• 瞬間では一意
• iモードIDは再利用されない、らしい
• Ez/SBMは絶対されないとは言い切れない
• 契約変更時に変わったり、ユーザ側で変更も可能

ユーザ

• PCとは全く違う
• いろんな常識が通用しない
  • あんまりまともなパスワードは入力されない
    • 123456, adgjmpがものすごい数
• ソーシャルハックに対してものすごい脆弱
  • 携帯の貸し借りやSIMカードの貸し借りなど

すごいユーザはすごい

• URLのパラメータ変えてアクセスとか普通にやる
  • 着うたダウンロードのURLの数値部分を変えて手当たり次第とか

まとめ

• リファラによるSID漏洩は厄介
• HTMLソースコードは読まれる前提で
• IPアドレス帯域は利用するべき

« WAS Forum Developer Dayに行ってきました… WAS Forum Developer Dayに行ってきました… »