「アクセス」タグアーカイブ

2007-02
26
11:03:00
携帯で端末ID詐称は可能かもしれない話


高木さんの「素朴な」疑問に対して、果たして携帯Webアプリでセッションは安全かの議論が続いている。
携帯電話向けWebアプリの脆弱性事情はどうなっているのか
珍しく間違った批判をしている高木先生
携帯電話からセッションIDの漏洩を防ぐ
Cookieが使えない機種も多いのでGETパラメータにセッションIDを埋め込む手法への疑問と、端末IDの信頼性の二つが論点かと思うのだけど、ここでは後者をちょっと考えたい。
いわゆる端末IDについてはこちらが詳しいのだけど、議論を整理すると、端末ID(もしくはユーザID)を安全足らしめるには次の要素が必要と考えられている。
1. SRC IPを制限して、各キャリアの携帯網からのアクセスのみ許可する。
2. 携帯端末の端末IDやUser-Agent環境変数はPCと違って変更不能
ところがこの1, 2は突破可能だ。
うちのようなサイトを巡回している人なら自明の理だと思うんだけど、Windows Mobileなどを搭載したスマートフォンなら、少なくともUser-AgentはNetFrontなどのブラウザ機能で簡単に変更できてしまう。
そしてまた、設定をごにょごにょいじることで、携帯網にもアクセス可能だ。例えば僕のHTC Universalという海外で発売されたSIMフリーのスマートフォンでSoftbankのSIMを挿してYahoo!ケータイが使えます。この場合、サーバからは一般の携帯からのアクセスとの違いはかなり気を付けていないと分からないはずだ。
例を示そう。
まず以下は普通にSoftbank携帯からWebサーバにアクセスして、CGIで環境変数を見たところ。
マスクしてますが、User-Agentとx-jphone-uidが取得されたのが分かる。User-AgentのSN…ってのが端末シリアル番号ですね。
CIMG0396.JPG
CIMG0398.JPG
次にスマートフォンからUser-Agentを偽装してリクエストしてみる。
20070225171647.jpg
20070225171719.jpg
User-Agentの端末シリアル番号の下四桁が0000に偽装されているのが分かると思う。
なおx-jphone-uidはNetFrontでは任意のヘッダーは追加できないので、そのままです。つまりx-jphone-uidは基地局やゲートウェイが追加する変数ということになる。
ここで、更に端末IDを安全足らしめる条件を追加してみよう。
3. 基地局またはゲートウェイが端末を認識してコントロールするIDを挿入すること
今回環境が揃わなかったのでテストできませんでしたが、Docomoで言えばuid, Softbankならx-jphone-uid、auならX-Up-Subnoということになると思うのだけど、仮にこれらが任意に端末から追加されていたら何も基地局やゲートウェイが書き換えたり削除しない仕様だとすると、端末IDは偽装放題ということになります。
つまりいわゆるユーザIDが最後の砦となっていると思うのだけど、果たして、このへんの実態はどうなんだろうか。
多分、簡単なWMアプリを作って確認すればすぐ分かると思うけど。
(あ、auだけは安全かも。独自仕様過ぎて携帯網につながるスマートフォンがまだないので。でも、近々出すって言ってたっけな)
また、Webアプリの仕様の問題もある。
実際User-Agentしか見ていなくて、スマートフォンから簡単にログイン可能になっているサービスを確認しています。
これを脆弱性と呼ぶかどうか。
IPAとかに連絡してもいいかも知れないけど、僕自身は以前に通報したらそんなの脆弱性とは呼ばないとか叩かれたりもしたし、実は普段の携帯とスマートフォンで便利に使い分けられてたりするので、今回はパスしますが。
# 過去にはこの仕様でもOKだったんだけど、時代が変わって事情が変わってきたと言うところだろうか。

2006-07
11
23:29:00
gcNotifierが窓の杜に掲載されました


何かやけにアクセスが爆発しているなぁ、と思ったら窓の杜に掲載されていました。
掲載報告メールも届いていました。
Webカレンダー“Google Calendar”の予定をポップアップで通知「gcNotifier」
窓の杜は爆発的、というところが特徴的で、これまでに掲載してもらった際もアクセス数が普段の100倍くらいになったりしてました(普段が少ないから、という話もある(^^:)ので、突如だとびっくりしてしまいますね。
ともあれ、ありがとうございました。
今夜ぐらいは窓の杜方面には足を向けずに寝たいと思います。

2006-06
22
21:47:00
Google Calendar Nitifier R0.2


バグFIXとか。
ダウンロード
アクセスエラーが続くと懲りずに何度もアクセスを試すためエラーダイアログが幾つでも増殖してしまうバグを修正しました。
これはひどい・・・。正直すみませんでした。
それから何か直したけど、忘れた・・。
また何となくアイコンを変更してみました。

2006-03
23
01:38:00
RSS配信をカスタマイズする意味


近頃考えていたことに関連して、ちょっと面白い記事を見つけました。
RSS フィードの SEO 対策 – 9つのポイント(?) – My RSS 管理人 ブログ

RSSフィードの SEO 対策(?)
1. 全文を配信する
2. 20以上のアイテムを配信する
3. カテゴリ別など複数種類のフィードを配信する
4. アイテムタイトルはキーワード中心にする
5. アイテムタイトルにブランド名を入れる
6. 最も重要なキーワードをサイトタイトルに入れる
7. わかりやすいサイト要約をつける(サイトのdescriptionタグ内)
8. URLにトラッキングコードを入れない(例: &source=rss)
9. Podcasting などの付帯情報(enclosure)を入れると被参照範囲が広がる

記事の趣旨としてはSEO対策のためとなっていますが、一方でこれは如何にブログエントリーの流通性を高めるか、という指摘でもあります。
指針で惹かれるのは、やはり全文配信の是非についてでしょう。
但し、多くのブログではそもそも全文配信を選ぶことさえ出来ない場合が多いです。
さすがにMT辺りではカスタマイズ可能ですが、多くのBlog事業者の提供するASP型Blogではほとんどの場合記事概要や本文(追記除く)がデフォルトで、全ての記事を配信させることは意外にも出来ません。
これほどBlogが一般化している中でこれは意外な盲点のようにも思います。

Continue reading

2006-03
18
20:05:00
アクセス解析にもRSSが付けばいいのに


ちょっとしたアイデアです。
ふと思いついたのが、Blogのサイドバーに「アクセス数トップ10」を付けたいな、ということ。
Seesaaではそんなサイドバーは用意していないので自分で取り付けることになるが、問題なのはどうやってアクセス数トップ10を取得するか。
一番簡単なのは、普段使ってるアクセス解析サービスからトップ10を取得することなのだけど、意外にそんなことが出来るサービスが無い。
例えばSHINOBI.JPにせよCGIBoyにしても、Webブラウザから解析結果を見るのは何ら問題ないのだけれど、結果を色々いじくってみようとすると、とたんに何もできなくなってしまう。
Webブラウザからの解析に特化してしまっていて、応用性が無いのだ。
場合によってはFlash画面だったりして。ブラウザで使う分には便利なのだけど。

Continue reading