読者です 読者をやめる 読者になる 読者になる

モノノフ日記

普通の日記です

WAS Forum Developer Dayに行ってきました #3

event

飄々とした感じで登場されて、スーツの人が多い中最初スベった感があったんですが、徐々に人惹きこんでいく話術はさすがだなー、と思いました。

携帯電話向けWebのセキュリティ

  • GREEのふじもとさん
    • この後結婚式だからスーツ
    • 自転車はGIANTがオススメ
携帯電話向けWeb
携帯ブラウザはへろへろ
GREEの対策
  • そもそも他サイトにリンクさせない
    • これ重要(公式では必須)
    • 端末不具合の問題もある
  • セッション格納情報でチェック
    • UserAgent
    • 端末固有情報
  • SIDを変えまくる
    • ユーザは日記に今見てるURLを貼りまくる
その他
  • Shift_JIS
  • タグとか書いてそう
  • js動かない
携帯からはHTMLソースが読めない?
  • 携帯ブラウザからは読めない
  • JavaなアプリやBREWは?
    • 一応大丈夫なはず
  • スマートフォンは?
  • 当然、HTMLソースは読まれる前提で実装
IPアドレス帯域
  • キャリア毎に帯域が決まっている
  • この制限は絶対に必要
  • これを外すとものすごい勢いでいろんな前提が崩れる
  • UserAgentだけで判別とかは無し
  • アップデートが頻繁にあるので、はてなアンテナとかでチェックしてる
端末固有情報
  • au
    • EZ番号
  • DCM
    • iモードID
    • 端末固有番号はもう使わない
  • SBM
    • X-JPHONE-UID
  • HTTPヘッダでやりとり
  • 任意で非送信も可
固有情報は偽装されるのか?
  • 今のところ任意の偽装は難しそう
    • ドコモの帯域チェックとか重要
  • じゃあセッションハイジャックは防げる?
    • iモードID以外は(guid=on)つければいいんですが
  • IP Spoofingの可能性
  • 100%を保証されている訳ではない
端末固有情報は一意?
  • 瞬間では一意
  • iモードIDは再利用されない、らしい
  • Ez/SBMは絶対されないとは言い切れない
  • 契約変更時に変わったり、ユーザ側で変更も可能
ユーザ
  • PCとは全く違う
  • いろんな常識が通用しない
    • あんまりまともなパスワードは入力されない
      • 123456, adgjmpがものすごい数
  • ソーシャルハックに対してものすごい脆弱
すごいユーザはすごい
  • URLのパラメータ変えてアクセスとか普通にやる
    • 着うたダウンロードのURLの数値部分を変えて手当たり次第とか
まとめ