先日の日記で携帯の認証に関しての考察をして、とりあえずキャリア毎のIP制限を行っていれば端末IDやユーザID認証を信用していいのでは無いか?と書いたのだが、更に調べた結果どうも怪しい実態が見えてきたので危険度と合わせて再度纏めてみようと思う。 とりあえず指摘があったので前回のテストに加えて以下を試してみました。 NO uidに指定した値 実際に送信されてくる値 8 %30%31%32%33%34%35%36%37%38%39%61%62*1 1234567890ab うわ弱っ、駄目じゃん。見事にuidの詐称が成功してしまった…。 DoCoMoのユーザIDの信頼性が地に落ちた瞬間です。 2007-03-01追記)DoCoMoスゲー!昨日は確かに上記の方法で詐称できたのに、今日はもう既に対策されとるし(^^; 今、同じことを試すと以下のメッセージが出るのみでした。 IPサイトの記述に誤りがある
本記事は, 2004年3月31日 に発行した「ネットワーク大辞典」を基に掲載しております。内容は発行時の情報に基づいており,現在では異なる場合があります。 NTTドコモのiモードで使われている公式サイト向けユーザーID変換用ダミー文字列。 iモードの公式サイトは,ユーザーを識別する必要があるページでも,ユーザーIDを入力せずに済む。これは,NTTドコモ網内のゲートウエイが,HTML文書中「NULLGWDOCOMO」と記述された部分を,当該ユーザーのユーザーID(UID)に自動的に変換する仕組みだからである。 Webサイト側は,HTML文書中にこの文字列を記述しておき,HIDDENフィールドなどを使って,ページ換えの際などにWebサーバー側に通知する。こうするとWebサイトはアクセス中のユーザーのUIDを把握できる。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
