RSS
前記事で「au 携帯のセキュリティについては色々言いたいこともあるのですが、これはまたの機会に」と書いていたのですが、slashdot.jp で「携帯電話からのWeb利用の安全性は、十分に配慮されているだろうか?」という話題が上がっていたので、そちらにコメントしてしまいました。私の言いたかったことはここに全て書いてあります。
au 携帯電話と「お気に入り」(私のコメント)
スラドは毎日チェックしているので(コメントすることは滅多にないのだけれど)、いい加減アカウントを取ろうかとも思うのですが、何となく面倒なので AC.
HTML を使わずに書いてしまい、若干見にくいので、整形してこちらに再掲します(一部文意の変わらない範囲で修正していますので、オリジナルを読みたい方は上記をご覧ください)。
高木浩光氏が「再掲:au携帯電話のバーコードリーダでジャンプ先URLが偽装される」で書いておられるように、au 電話の Web ブラウザには現在の URL を確認する機能が用意されていません。このため、au 電話で URL を確認したい場合、メニュー(*1) から「お気に入り登録」を選択して、登録の確認画面で URL をコピーする、という方法が一般的に用いられています。(*2)
しかし、この方法には2つの欠陥があります。
1. お気に入り登録を拒否できる(*3)
特殊な meta 要素(検索すればすぐに見つかるので敢えて書きませんが)(*4) をページに入れることで、「お気に入り登録」を不能にすることができる(「このページはお気に入りリストに登録できません」というメッセージが表示される)。
2. 特定の URL をお気に入りの URL として認識させることができる
1 と同様に meta 要素(*4) を利用して、特定の URL をお気に入り登録時の URL として利用できる(例えば、悪意のあるサイト「http://example.com/」を表示中に、ユーザが「お気に入り登録」を選択した場合、登録の確認画面に表示される URL を有害なサイト「http://example.org/」にすることができる)。ディープリンクを禁止したいサイトにおいて、トップページ以外のページでユーザが「お気に入り登録」を選択した場合に、自動的にトップページの URL を登録 URL として表示する場合などに使われることが多い(PC の Web ブラウザであれば「アドレスバー偽装の脆弱性」で大騒ぎでしょう)。(*5)
これら機能が仕様であると知ったときは、PC ブラウザのセキュリティ意識との差に愕然としました。因に、au お客様センターに一度この旨を説明したのですが、定型文返信でした。
(*1) 各サイトに備え付けられた独自のメニューではなく、Web ブラウザの機能としての「メニュー」。以下同様。
(*2) 例えば、「なるほど!au EZwebサイトのURLメール添付について」など。ちなみに、このサイトは au が提供しているコミュニティサイトで、au の携帯版公式サイトからもリンクが張られています。
(*3) この機能が、au 携帯向け Web アプリケーションの脆弱性の温床にもなっていると思います(私見)。公式サイト中にも、URL のパラメータを弄るだけで有料コンテンツをダウンロードできるようになっているサイトが見受けられました(このサイトではお気に入り登録の拒否タグが設定されていましたが、以前発見された Referer 誤送信の脆弱性(参照:「au携帯電話、TU-KA携帯電話におけるEZwebブラウザのホームページURLの送出について」)などによって流出したケースがあるようです)。
(*4) さらに悪い事には、これらの meta 要素は body 内に書かれていても機能します(手元の端末で確認した限りでは)。タグを許容する BBS などを設置・運営している場合は特に注意が必要でしょう。
(*5) せめて同一ドメイン内とかにして欲しかった。
au 携帯電話と「お気に入り」(私のコメント)
スラドは毎日チェックしているので(コメントすることは滅多にないのだけれど)、いい加減アカウントを取ろうかとも思うのですが、何となく面倒なので AC.
HTML を使わずに書いてしまい、若干見にくいので、整形してこちらに再掲します(一部文意の変わらない範囲で修正していますので、オリジナルを読みたい方は上記をご覧ください)。
高木浩光氏が「再掲:au携帯電話のバーコードリーダでジャンプ先URLが偽装される」で書いておられるように、au 電話の Web ブラウザには現在の URL を確認する機能が用意されていません。このため、au 電話で URL を確認したい場合、メニュー(*1) から「お気に入り登録」を選択して、登録の確認画面で URL をコピーする、という方法が一般的に用いられています。(*2)
しかし、この方法には2つの欠陥があります。
1. お気に入り登録を拒否できる(*3)
特殊な meta 要素(検索すればすぐに見つかるので敢えて書きませんが)(*4) をページに入れることで、「お気に入り登録」を不能にすることができる(「このページはお気に入りリストに登録できません」というメッセージが表示される)。
2. 特定の URL をお気に入りの URL として認識させることができる
1 と同様に meta 要素(*4) を利用して、特定の URL をお気に入り登録時の URL として利用できる(例えば、悪意のあるサイト「http://example.com/」を表示中に、ユーザが「お気に入り登録」を選択した場合、登録の確認画面に表示される URL を有害なサイト「http://example.org/」にすることができる)。ディープリンクを禁止したいサイトにおいて、トップページ以外のページでユーザが「お気に入り登録」を選択した場合に、自動的にトップページの URL を登録 URL として表示する場合などに使われることが多い(PC の Web ブラウザであれば「アドレスバー偽装の脆弱性」で大騒ぎでしょう)。(*5)
これら機能が仕様であると知ったときは、PC ブラウザのセキュリティ意識との差に愕然としました。因に、au お客様センターに一度この旨を説明したのですが、定型文返信でした。
(*1) 各サイトに備え付けられた独自のメニューではなく、Web ブラウザの機能としての「メニュー」。以下同様。
(*2) 例えば、「なるほど!au EZwebサイトのURLメール添付について」など。ちなみに、このサイトは au が提供しているコミュニティサイトで、au の携帯版公式サイトからもリンクが張られています。
(*3) この機能が、au 携帯向け Web アプリケーションの脆弱性の温床にもなっていると思います(私見)。公式サイト中にも、URL のパラメータを弄るだけで有料コンテンツをダウンロードできるようになっているサイトが見受けられました(このサイトではお気に入り登録の拒否タグが設定されていましたが、以前発見された Referer 誤送信の脆弱性(参照:「au携帯電話、TU-KA携帯電話におけるEZwebブラウザのホームページURLの送出について」)などによって流出したケースがあるようです)。
(*4) さらに悪い事には、これらの meta 要素は body 内に書かれていても機能します(手元の端末で確認した限りでは)。タグを許容する BBS などを設置・運営している場合は特に注意が必要でしょう。
(*5) せめて同一ドメイン内とかにして欲しかった。
Comments
ケータイ用Webサイトは濡れ手に粟と……。
って犯罪スレスレですがな(´・ω・`)
> これらの meta 要素は body 内に書かれていても機能します
これはひどい。ケータイでうかつにブラウジングなぞできなくなりましたがな(´・ω・`)
ああ早くemobileでもHOTSPOTでも契約してー。
むしろどえす欲しい。
「どえす」は iPhone に隠れてますけど随分行列ができたらしいですねぇ。あんまりモバイル環境でネットをしようと思わないのでそこらへんの事情は詳しく知らんのでした。