RSS
ようやくリリースのお知らせを書きました。
気づいたら 2 週間も経ってしまっていたのね。。。
あと、サポートサイトのユーザ ID / パスワードもお送りしていますので、どうぞチェックしておいてください。
気づいたら 2 週間も経ってしまっていたのね。。。
あと、サポートサイトのユーザ ID / パスワードもお送りしていますので、どうぞチェックしておいてください。
iPod nano や iPod shuffle にも、中国製の偽者はありましたけど。
ついに、iPhone のパチモンまで。
eBay: iPhone's Brother
他にも MP3 ファイルが着信音に使えるとか、MMS が使えるとか、ゲームが入っているとか、計算機・世界時計・ストップウォッチ・単位換算・通貨換算・カレンダー(祝日機能つき)などなど、本家についていない機能を実装するのはいつも通りのようで(iPod shuffle のそっくりさんにも FM 機能が付いていたし)。
発表が 2007 年 4 月とあるんですけど、もしかして私が知らなかっただけかな・・・?
追記:YouTube に動画がありました。サーバが重いみたいだからあとで観よう。
ついに、iPhone のパチモンまで。
eBay: iPhone's Brother
This Iphone we provide is not from Apple company, but cellphone style like Iphone from Chinese company. And features like Iphone with Touch screen and much more!!!タッチスクリーンらしい。この箱は凄いな (^^; 「iPhone」って思いっきり書いてあるし。
(意訳:この iPhone はアップル製じゃないけど、それっぽい感じの中国製携帯さ。タッチスクリーンとかいろいろ、iPhone にそっくりな機能がついてるよ!!)
他にも MP3 ファイルが着信音に使えるとか、MMS が使えるとか、ゲームが入っているとか、計算機・世界時計・ストップウォッチ・単位換算・通貨換算・カレンダー(祝日機能つき)などなど、本家についていない機能を実装するのはいつも通りのようで(iPod shuffle のそっくりさんにも FM 機能が付いていたし)。
発表が 2007 年 4 月とあるんですけど、もしかして私が知らなかっただけかな・・・?
追記:YouTube に動画がありました。サーバが重いみたいだからあとで観よう。
前記事で「au 携帯のセキュリティについては色々言いたいこともあるのですが、これはまたの機会に」と書いていたのですが、slashdot.jp で「携帯電話からのWeb利用の安全性は、十分に配慮されているだろうか?」という話題が上がっていたので、そちらにコメントしてしまいました。私の言いたかったことはここに全て書いてあります。
au 携帯電話と「お気に入り」(私のコメント)
スラドは毎日チェックしているので(コメントすることは滅多にないのだけれど)、いい加減アカウントを取ろうかとも思うのですが、何となく面倒なので AC.
HTML を使わずに書いてしまい、若干見にくいので、整形してこちらに再掲します(一部文意の変わらない範囲で修正していますので、オリジナルを読みたい方は上記をご覧ください)。
高木浩光氏が「再掲:au携帯電話のバーコードリーダでジャンプ先URLが偽装される」で書いておられるように、au 電話の Web ブラウザには現在の URL を確認する機能が用意されていません。このため、au 電話で URL を確認したい場合、メニュー(*1) から「お気に入り登録」を選択して、登録の確認画面で URL をコピーする、という方法が一般的に用いられています。(*2)
しかし、この方法には2つの欠陥があります。
1. お気に入り登録を拒否できる(*3)
特殊な meta 要素(検索すればすぐに見つかるので敢えて書きませんが)(*4) をページに入れることで、「お気に入り登録」を不能にすることができる(「このページはお気に入りリストに登録できません」というメッセージが表示される)。
2. 特定の URL をお気に入りの URL として認識させることができる
1 と同様に meta 要素(*4) を利用して、特定の URL をお気に入り登録時の URL として利用できる(例えば、悪意のあるサイト「http://example.com/」を表示中に、ユーザが「お気に入り登録」を選択した場合、登録の確認画面に表示される URL を有害なサイト「http://example.org/」にすることができる)。ディープリンクを禁止したいサイトにおいて、トップページ以外のページでユーザが「お気に入り登録」を選択した場合に、自動的にトップページの URL を登録 URL として表示する場合などに使われることが多い(PC の Web ブラウザであれば「アドレスバー偽装の脆弱性」で大騒ぎでしょう)。(*5)
これら機能が仕様であると知ったときは、PC ブラウザのセキュリティ意識との差に愕然としました。因に、au お客様センターに一度この旨を説明したのですが、定型文返信でした。
(*1) 各サイトに備え付けられた独自のメニューではなく、Web ブラウザの機能としての「メニュー」。以下同様。
(*2) 例えば、「なるほど!au EZwebサイトのURLメール添付について」など。ちなみに、このサイトは au が提供しているコミュニティサイトで、au の携帯版公式サイトからもリンクが張られています。
(*3) この機能が、au 携帯向け Web アプリケーションの脆弱性の温床にもなっていると思います(私見)。公式サイト中にも、URL のパラメータを弄るだけで有料コンテンツをダウンロードできるようになっているサイトが見受けられました(このサイトではお気に入り登録の拒否タグが設定されていましたが、以前発見された Referer 誤送信の脆弱性(参照:「au携帯電話、TU-KA携帯電話におけるEZwebブラウザのホームページURLの送出について」)などによって流出したケースがあるようです)。
(*4) さらに悪い事には、これらの meta 要素は body 内に書かれていても機能します(手元の端末で確認した限りでは)。タグを許容する BBS などを設置・運営している場合は特に注意が必要でしょう。
(*5) せめて同一ドメイン内とかにして欲しかった。
au 携帯電話と「お気に入り」(私のコメント)
スラドは毎日チェックしているので(コメントすることは滅多にないのだけれど)、いい加減アカウントを取ろうかとも思うのですが、何となく面倒なので AC.
HTML を使わずに書いてしまい、若干見にくいので、整形してこちらに再掲します(一部文意の変わらない範囲で修正していますので、オリジナルを読みたい方は上記をご覧ください)。
高木浩光氏が「再掲:au携帯電話のバーコードリーダでジャンプ先URLが偽装される」で書いておられるように、au 電話の Web ブラウザには現在の URL を確認する機能が用意されていません。このため、au 電話で URL を確認したい場合、メニュー(*1) から「お気に入り登録」を選択して、登録の確認画面で URL をコピーする、という方法が一般的に用いられています。(*2)
しかし、この方法には2つの欠陥があります。
1. お気に入り登録を拒否できる(*3)
特殊な meta 要素(検索すればすぐに見つかるので敢えて書きませんが)(*4) をページに入れることで、「お気に入り登録」を不能にすることができる(「このページはお気に入りリストに登録できません」というメッセージが表示される)。
2. 特定の URL をお気に入りの URL として認識させることができる
1 と同様に meta 要素(*4) を利用して、特定の URL をお気に入り登録時の URL として利用できる(例えば、悪意のあるサイト「http://example.com/」を表示中に、ユーザが「お気に入り登録」を選択した場合、登録の確認画面に表示される URL を有害なサイト「http://example.org/」にすることができる)。ディープリンクを禁止したいサイトにおいて、トップページ以外のページでユーザが「お気に入り登録」を選択した場合に、自動的にトップページの URL を登録 URL として表示する場合などに使われることが多い(PC の Web ブラウザであれば「アドレスバー偽装の脆弱性」で大騒ぎでしょう)。(*5)
これら機能が仕様であると知ったときは、PC ブラウザのセキュリティ意識との差に愕然としました。因に、au お客様センターに一度この旨を説明したのですが、定型文返信でした。
(*1) 各サイトに備え付けられた独自のメニューではなく、Web ブラウザの機能としての「メニュー」。以下同様。
(*2) 例えば、「なるほど!au EZwebサイトのURLメール添付について」など。ちなみに、このサイトは au が提供しているコミュニティサイトで、au の携帯版公式サイトからもリンクが張られています。
(*3) この機能が、au 携帯向け Web アプリケーションの脆弱性の温床にもなっていると思います(私見)。公式サイト中にも、URL のパラメータを弄るだけで有料コンテンツをダウンロードできるようになっているサイトが見受けられました(このサイトではお気に入り登録の拒否タグが設定されていましたが、以前発見された Referer 誤送信の脆弱性(参照:「au携帯電話、TU-KA携帯電話におけるEZwebブラウザのホームページURLの送出について」)などによって流出したケースがあるようです)。
(*4) さらに悪い事には、これらの meta 要素は body 内に書かれていても機能します(手元の端末で確認した限りでは)。タグを許容する BBS などを設置・運営している場合は特に注意が必要でしょう。
(*5) せめて同一ドメイン内とかにして欲しかった。
・・・されたそうです。
「KDDI au: ダウンロードCGI > サンプルプログラムのセキュリティに関する重要なお知らせ」
「ITmedia News:KDDIのダウンロードCGIサンプルプログラムにディレクトリトラバーサルの脆弱性」
この CGI、以前(使う予定も無いのに)ダウンロードしたことがあったので、ちょっと比較してみました。
まず、今回の問題はディレクトリトラバーサル(引数のファイル名に相対パスを許容することで意図しないディレクトリ / ファイルへのアクセスが行われてしまい、データの漏洩などが発生する問題)ということで、入力されたファイルのパスをチェックしなかったということが予想できます。実際そのとおりで、以下の2行が追加されていました。
追加された checkpath サブルーチンでは、渡された文字列に
・「/」を含む場合、若しくは
・「..」または「.」に等しい場合
に 0 を返すようになっています。
他にも、ファイルの open が sysopen に変更されるなど、セキュリティを意識した修正が行われたようです。
でも、デバッグコードの外し忘れと思われるものがあるのですが・・・。
open (OUT,">>test.txt");
これは旧版(72行)、新版(75行)ともにあります。ハンドル OUT はどこでも使われてませんし、close もされていません。うーむ。
*
ファイルの更新日時を見る限りでは、旧版 CGI が作成されたのは 2001年5月31日。新版 CGI の更新日は 2007年6月26日 となっていますから、実に 6 年以上脆弱性が放置されていたことになります。ダウンロード機能を使う必要があるのは、どちらかと言えばプロの Web 屋さんだと思われるので、このダウンロード CGI をオリジナルのまま流用しているケースは少ないように思われます。しかし、KDDI のような会社があまりにも基本的なミスを犯していたことに驚きを覚えました。
*
au 携帯のセキュリティについては色々言いたいこともあるのですが、これはまたの機会に。
「KDDI au: ダウンロードCGI > サンプルプログラムのセキュリティに関する重要なお知らせ」
「ITmedia News:KDDIのダウンロードCGIサンプルプログラムにディレクトリトラバーサルの脆弱性」
この CGI、以前(使う予定も無いのに)ダウンロードしたことがあったので、ちょっと比較してみました。
まず、今回の問題はディレクトリトラバーサル(引数のファイル名に相対パスを許容することで意図しないディレクトリ / ファイルへのアクセスが行われてしまい、データの漏洩などが発生する問題)ということで、入力されたファイルのパスをチェックしなかったということが予想できます。実際そのとおりで、以下の2行が追加されていました。
20: #check file path
21: &checkpath($namex) or die("bad file name");
追加された checkpath サブルーチンでは、渡された文字列に
・「/」を含む場合、若しくは
・「..」または「.」に等しい場合
に 0 を返すようになっています。
他にも、ファイルの open が sysopen に変更されるなど、セキュリティを意識した修正が行われたようです。
でも、デバッグコードの外し忘れと思われるものがあるのですが・・・。
open (OUT,">>test.txt");
これは旧版(72行)、新版(75行)ともにあります。ハンドル OUT はどこでも使われてませんし、close もされていません。うーむ。
*
ファイルの更新日時を見る限りでは、旧版 CGI が作成されたのは 2001年5月31日。新版 CGI の更新日は 2007年6月26日 となっていますから、実に 6 年以上脆弱性が放置されていたことになります。ダウンロード機能を使う必要があるのは、どちらかと言えばプロの Web 屋さんだと思われるので、このダウンロード CGI をオリジナルのまま流用しているケースは少ないように思われます。しかし、KDDI のような会社があまりにも基本的なミスを犯していたことに驚きを覚えました。
*
au 携帯のセキュリティについては色々言いたいこともあるのですが、これはまたの機会に。
やっぱりと言うか、何と言うか。
DVD Jon、AT&Tプラン未加入でのiPhoneアクティベーションを公開[CNET Japan]
未アクティベートの iPhone にも価値が出る?
次の一手は AT&T 以外のキャリアで使えるようにすることかな。
(日本じゃ無理だけど、SIM ロックのない海外ならできそう?)
で、これはネタ??
新品 iphone プリント Tシャツ 白
イラストを見て吹いた。
*
今日はすごく沢山メールが来る日で、まだお返事できてません。ごめんなさい。あと、できれば LM の質問はサポートフォーラムのほうでお願いします。
DVD Jon、AT&Tプラン未加入でのiPhoneアクティベーションを公開[CNET Japan]
未アクティベートの iPhone にも価値が出る?
次の一手は AT&T 以外のキャリアで使えるようにすることかな。
(日本じゃ無理だけど、SIM ロックのない海外ならできそう?)
で、これはネタ??
新品 iphone プリント Tシャツ 白
イラストを見て吹いた。
*
今日はすごく沢山メールが来る日で、まだお返事できてません。ごめんなさい。あと、できれば LM の質問はサポートフォーラムのほうでお願いします。
