docomo iモードブラウザ2.0搭載機種での「かんたんログイン」の脆弱性対策 [nao-pon/blog/2009-11-25]

ページへ戻る

− Links

印刷

^[5]

2009 11月 25 (水)

docomo iモードブラウザ2.0搭載機種での「かんたんログイン」の脆弱性対策 ^[6]

まずは次のリンクを参照してください。

セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性^[9]

携帯対応レンダラーでも、iモードIDを用いて「かんたんログイン」機能を提供していますが、HypCommonFunc^[10] Ver.20090901 以降では、iモードブラウザ2.0搭載機種では、cookie ベースのセッション管理となっているため心配はなさそうですが、念のために取り急ぎ HOST フィールドのチェックを入れました。

trust/class/hyp_common/preload/hyp_preload.php^[11]

上記ファイルに差し替えて運用されることをお勧めいたします。 :-)

追記 2009-11-25 (水) 08:43:01 ^[12]

昨日は寝ようと思ったところにニュースを見てしまって慌てて対策したけど、よく考えてみたら専用サーバでない限り、ほとんどのケースでバーチャルホストになっていると思うので、そもそも HTTPヘッダの HOST が違っている時点でサイトまで辿り着けないと思う。

そうだとすると、それほど慌てることもなかったかな。まあ「備えあれば憂いなし」ということで、よしとしよう。 :-D

Last-modified: 2009-11-25 (水) 08:42:36 (JST) (5259d) by nao-pon

Links list

(This host) = https://xoops.hypweb.net

^{(This host)}/modules/UsersWiki/person/nao-pon/blog/2009-11-23
^{(This host)}/modules/UsersWiki/person/nao-pon/blog/2009-11-26
^{(This host)}/modules/UsersWiki/person/nao-pon
^{(This host)}/modules/UsersWiki/person/nao-pon/blog
^{(This host)}/modules/UsersWiki/?cmd=rss&p=nao-pon%2Fblog
^{(This host)}/modules/UsersWiki/person/nao-pon/blog/2009-11-25#q7f7ab88
^{(This host)}/modules/UsersWiki/index.php?cmd=lsx&rtag=%A5%D7%A5%ED%A5%B0%A5%E9%A5%DF%A5%F3%A5%B0
^{(This host)}/modules/UsersWiki/index.php?cmd=lsx&rtag=%B7%C8%C2%D3%C2%D0%B1%FE%A5%EC%A5%F3%A5%C0%A5%E9%A1%BC
http://www.hash-c.co.jp/info/20091124.html
^{(This host)}/modules/xpwiki/116.html
^{(This host)}/modules/xpwiki/ref0/%3AShareFiles/hyp_preload_5.php/hyp_preload.php
^{(This host)}/modules/UsersWiki/person/nao-pon/blog/2009-11-25#p04bbe3a

docomo iモードブラウザ2.0搭載機種での「かんたんログイン」の脆弱性対策 :: XOOPS マニア

docomo iモードブラウザ2.0搭載機種での「かんたんログイン」の脆弱性対策 [6]

追記 2009-11-25 (水) 08:43:01 [12]

Links list

docomo iモードブラウザ2.0搭載機種での「かんたんログイン」の脆弱性対策 ^[6]

追記 2009-11-25 (水) 08:43:01 ^[12]