気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント7件
- 注目コメント
- 新着コメント
tsupo
これは仕様としか言いようがない。したがって、すべてのWebアプリケーション開発者は、SSL接続で受信した X-EM-UID: の値を認証に使ってはいけないことを知っておく必要がある。イー・モバイルはこの事実を周知するべきだ
hiroomi
「失敗がまったく共有されていない様子。EMOBILEが送信を開始したのは、docomoが送信を開始したのとほぼ同時だ。ろくに技術検討をすることもなく始めているような、何らかの力がこのような結果をもたらしているのでは」
ockeghem
『通報して修正を促すことにし』<端末にせよゲートウェイにせよ修正・確認作業が大変で脆弱性対応に時間が掛かると予想される。今後もブラウザなどの脆弱性が発生する想定では、機種をむやみに増やすのは危険だ
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
高木浩光@自宅の日記 - EMOBILEのX-EM-UID、はじめから破綻, 追記
■ EMOBILEのX-EM-UID、はじめから破綻 昨日の「SSL接続で得たX-JPhone-UIDを認証に使ってはいけない」か... ■ EMOBILEのX-EM-UID、はじめから破綻 昨日の「SSL接続で得たX-JPhone-UIDを認証に使ってはいけない」から導かれる当然の帰結であるが、EMOBILEの X-EM-UID: についても同様に、SSL接続で得たものを認証に使ってはいけない。 「IDがSSLで使えない」ではなく「SSLで得たIDを使ってはならない」である点に注意。つまり、http:// のページしか提供していないつもりでも、実はWebサーバが https:// でもアクセスできるようになっていて、同じWebアプリケーションプログラムにリクエストが渡るようになっていたりすると、https:// 経由でなりすましログインされてしまうということ。 EMOBILEの「EMnet」はProxyサーバ wm.internal.emnet.ne.jp:8080 によって提供されており、これをProxyとしてSSL接続
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
2010/04/30 リンク