「PHP x 携帯サイト デベロッパーズバイブル」の脆弱性に関して 

phpdev-7.JPG

PHP x 携帯サイト デベロッパーズバイブル」に書かれている内容について、
セキュリティの点について徳丸浩様のサイトでご指摘を頂きました。

■徳丸浩の日記 - 書籍「PHP×携帯サイト デベロッパーズバイブル」の脆弱性
http://www.tokumaru.org/d/20081014.html

ご指摘の通り「PHP x 携帯サイト デベロッパーズバイブル」の7章のかんたんログインの部分で、携帯電話ではセッションIDを用いる方法と、個体識別番号を使った方法を記載しておりますが、セキュリティに関する記述に不備がありました。

7章にかいてある「かんたんログイン」に関する方法は、リクエストヘッダーなどを書き換えることにより、第三者がなりすましてログインされてしまう可能性があります。

そのため「かんたんログイン」を実装する際は、携帯キャリアゲートウェイのIPアドレスから来るアクセスのみに限定するように留意して実装してください。

ユーザーエージェントではなくIPアドレスで制限することで携帯電話本体からサイトにアクセスされていることを確認する事が出来ます。

IPアドレスからのアクセス制限の方法については、第3章に詳しく書かれておりますので、そちらをご参考にIPによる制限を実施して頂ければと思います。

携帯における「かんたんログイン」はそのままの使用ではセキュリティ上問題がありますので、対策をご理解の上ご使用くださいますようお願いします。

またセキュリティに関する件を、他にも書いてくださっているブロガーの方々にもお礼を申しあげます。

ご指摘ありがとうございます。

またこの件に関して、重要な事項であると考えたため、出版元であるソフトバンククリエイティブのサイトにも注意を促すページを直ぐに載せて頂きました。

■【訂正・補足】PHP×携帯サイト デベロッパーズバイブル
http://www.sbcr.jp/books/errata/art.asp?newsid=2271

ソフトバンククリエイティブ様のご理解と迅速なご対応にも感謝いたします。


PHP×携帯サイト デベロッパーズバイブル
Amazon bookmark with Amab.jp on 08.10.16
ソフトバンククリエイティブ (2008-09-27)
おすすめ度の平均: 5.0
5 ケータイサイト開発者必携の一冊
posted by 荒木 稔 | 2008年10月16日 | TrackBack(3) | はてブに追加 このエントリーをはてなブックマークに追加
前後の記事
この記事へのTrackBack
http://blog.seesaa.jp/tb/108141154

「PHP×携帯サイト デベロッパーズバイブル」の脆弱性についてのいろいろ
Excerpt: このブログでも以前ご紹介した本なので告知的にエントリー。脆弱性についての補足です。ことの経緯は次のような感じ。 「徳丸浩の日記 - 書籍「PHP×携帯サイト デベロッパーズバイブル」の脆弱性」にてセ..
Weblog: idea*idea
Tracked: 2008-10-16 06:22

[携帯]やっぱり怖いよ orz
Excerpt: 元ネタはこちら。 IP制限は必要悪。 http://d.hatena.ne.jp/m_norii/20081106/1225981496 うんID:m_noriiさんが言っている事はすべてtrueだ..
Weblog: がるの健忘録
Tracked: 2008-11-11 13:43

PHPx携帯サイトディベロッパーズバイブル
Excerpt: 献本いただいたもの。 PHPx携帯サイトディベロッパーズバイブル まず断っておく...
Weblog: 秋元@サイボウズラボ・プログラマー・ブログ
Tracked: 2008-11-12 16:28
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。