WAS Forum Developer Dayに行ってきました #3
飄々とした感じで登場されて、スーツの人が多い中最初スベった感があったんですが、徐々に人惹きこんでいく話術はさすがだなー、と思いました。
携帯電話向けWebのセキュリティ
- GREEのふじもとさん
- この後結婚式だからスーツ
- 自転車はGIANTがオススメ
携帯ブラウザはへろへろ
GREEの対策
その他
- Shift_JIS
- タグとか書いてそう
- js動かない
IPアドレス帯域
- キャリア毎に帯域が決まっている
- この制限は絶対に必要
- これを外すとものすごい勢いでいろんな前提が崩れる
- UserAgentだけで判別とかは無し
- アップデートが頻繁にあるので、はてなアンテナとかでチェックしてる
端末固有情報
- au
- EZ番号
- DCM
- iモードID
- 端末固有番号はもう使わない
- SBM
- X-JPHONE-UID
- HTTPヘッダでやりとり
- 任意で非送信も可
固有情報は偽装されるのか?
- 今のところ任意の偽装は難しそう
- ドコモの帯域チェックとか重要
- じゃあセッションハイジャックは防げる?
- iモードID以外は(guid=on)つければいいんですが
- IP Spoofingの可能性
- 100%を保証されている訳ではない
端末固有情報は一意?
- 瞬間では一意
- iモードIDは再利用されない、らしい
- Ez/SBMは絶対されないとは言い切れない
- 契約変更時に変わったり、ユーザ側で変更も可能
ユーザ
- PCとは全く違う
- いろんな常識が通用しない
- あんまりまともなパスワードは入力されない
- 123456, adgjmpがものすごい数
- あんまりまともなパスワードは入力されない
- ソーシャルハックに対してものすごい脆弱
- 携帯の貸し借りやSIMカードの貸し借りなど
すごいユーザはすごい
- URLのパラメータ変えてアクセスとか普通にやる
- 着うたダウンロードのURLの数値部分を変えて手当たり次第とか