Kenichi Maehashi's Blog

脳内コアダンプ

RSS
Category: Mobile
EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない

この件は自分も随分前から気になっていて、この記事(初出はスラド。こんなに話題になるならアカウント取って書けばよかった)を書いたのだけど、私が指摘するよりも遥か昔から高木氏は問題を認識されていて、丁度 IPA に届出をされていたのだそうです。

で、結局 KDDI の対応は FAQ での告知に終わってしまったようです。IPA の「情報セキュリティ早期警戒パートナーシップガイドライン」の最後の方を見れば、これが「典型的な悪い対応」なのは明らかなのに。

 *

(以下、au しか使ったことが無いので他キャリアでは事情が違うかも:)
携帯用 Web アプリケーションって、よく見ると脆弱性だらけで泣けてきます。

そもそもプラットフォームの設計自体が駄目で、例えば著作権の付加(ダウンロードの可否)を端末側で(XHTML の属性値で)コントロールしていたりする。著作権保護は「URL がユーザに判らないこと」によってのみ担保されている、なんて PC では信じられない状況。

自分の見てきた例としては、
  1. URI が判ればコンテンツの持ち逃げ可能:コンテンツファイル自体は static なファイルとして配置されていて、購入プロセスを通過した人だけにそのファイルの URI を提供する、というのが一般的なのです、恐ろしいことに。
  2. PC から携帯サイトにアクセスできる(=URI 丸見え):IP アドレスとか、制限の掛けようは幾らでもあるのに、何故かしていない。若しくは UA のみの制限。
  3. 本番サーバにバックアップファイルが(!):自社開発なのか駄目ベンダーなのか知りませんが、hoge.php.20071209 とか。ソース丸見え。
などなど。1 と 2 が同時に起これば(これは実際に2箇所ほど目にしましたが)、コンテンツが PC から丸ごとゴッソリ持っていかれてしまう。

 *

ということで、高木氏は上の記事で
無断リンク禁止のような話なのか。
と書かれていましたが、個人的には「とりあえず URL 隠しときゃクラッキング(含・コンテンツの無料持ち逃げ)防げるんじゃね?」という自己中心的かつ安易な考えではないかと思ったりしました。


※「ケータイ Web」の安全性があまり考慮されていないのは、設計当初の状況(kiosk 端末的、主として待受画面や着メロのダウンロードに使用、トップメニューから公式サイトのみを利用することを想定)と今日の状況(インターネットバンキングの普及など)があまりに違うためかも知れません。何れにせよ、携帯電話会社は今一度セキュリティについて考え直す必要があるでしょう。(とうまくまとめてみる)


追記(18:34)
上記の高木氏の日記の脚注に...
*4 ちなみに、スラッシュドットの7月11日のコメントにこれと同じ話題が書かれているがこれは私が書いたものではない。
あー...

Comments

2007/12/10
(・∀・)ニヤニヤ
まぁたしかに某キャンペーンとかはもっとひどいですし。
せめてIPアドレスでフィルタかけろよw
2007/12/13
某キャンペーンって何?気になる気になるっ!(笑)

ちなみに EZweb サイトで ezweb.ne.jp からの接続のみ許可してるものは、PCSV でアクセスできてしまうので危なかったり。豆知識。
Leave Yours...
Name:
E-mail / URL (optional):
Comment:
Are You Robot?: