« 今日の昼飯 (2010/10/24) | Main | 今日の夕飯 (2010/10/26) »

2010.10.26

携帯電話のかんたんログインはそろそろ廃止すべき

ITmediaに「クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性」という記事が載りました。
クイックログインは携帯電話端末の固有IDを使用して実装するものですが、固有IDの正当性は検査ができないため、

  • 携帯電話のブラウザから送信していること
  • 携帯電話ネットワークからの情報送信であること
  • キャリア判定が正しく行われていること
  • キャリア種別+固有IDで判定し、固有IDのみの判定は行わないこと

などの前提条件のチェックが必要になります。
今回はWebサイト側が携帯電話ネットワークの送信データと誤認したことで問題が発生しました。
高木先生もおっしゃっていますが、通常の携帯電話からのアクセスはcookieベースで実装する時期に来ていると考えて良いでしょう。
au、ソフトバンクについてはcookie実装が100%のため全く問題ありません。
ドコモのcookie実装は2009年夏モデル以降のiモード2.0端末からのため、ここ数年は影響度は大きいのですが、iモード1.0端末に限定してかんたんログインを実装する方が実装上も楽と判断します。

ちなみに読売新聞では「iPhoneで人の情報丸見え…閲覧ソフト原因」という見出しを付けていますが、ヤマト運輸側の問題をiPhoneにすりかえています。
Webサイト向けに記事を編集した担当者と実際に当事者を取材した人間は別らしいのですが、いずれにしてもすぐに修正すべき問題です。

|

« 今日の昼飯 (2010/10/24) | Main | 今日の夕飯 (2010/10/26) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/27186/49846296

Listed below are links to weblogs that reference 携帯電話のかんたんログインはそろそろ廃止すべき:

« 今日の昼飯 (2010/10/24) | Main | 今日の夕飯 (2010/10/26) »