PHP / Perl / Ruby / .NET / データベース … プログラム情報まとめ

「まとめると」以降の超加速脱線がイイ。　 [ FTTH ]

タイトルどうでもいい、というより変えて欲しいなｗ携帯での認証の方法とその背景。　 [ tks_period ]

サイト側がしっかりしてないと危ないって点ではどっちも同じコト言ってる気がしますけども。何にせよケータイに全てが集約される方向になりそうなので危機感は持ち続けた方が良さそう。　 [ legnum ]

uid偽装携帯softbank　 [ japanrock ]

携帯電話向けWebアプリの脆弱性事情について　 [ ftnk ]

セッションIDの話。興味深い考察。　 [ bonnaroo ]

違和感を感じていたところをわかりやすく説明している。IPアドレスはキャリアごとに公開されてますよ。　 [ sonosonosono ]

そうかなぁ　 [ msuhara ]

y-kawazの日記-珍しく間違った批判をしている高木先生　 [ unieye51 ]

公式サイトと勝手サイトじゃ全然違うからねえ　 [ fedlic ]

どうなんだろう>なので高木氏の以下の批判は的外れと言えるでしょう　 [ walkinglint ]

これは面倒だなー　 [ komagata ]

携帯でIP制限している、という前提で　 [ ishikawa_takanori ]

uid=NULLGWDOCOMOって勝手サイトで使えるのかな　 [ p4life ]

結局はUser-Agent頼みなので、新規に携帯用ブラウザ作っちゃえばいくらでも偽装可能なのでは?　 [ takhasegawa ]

携帯セキュリティ関連　 [ hmd703 ]

PCを携帯電話でインターネット接続するとどうなるんだろう?GWで書き換えるのかな?　 [ shidho ]

高木先生がどーとか関係なく、勉強になった。　 [ J2kawa ]

携帯でのセッション管理についての考察。とくに高木先生への批判はどうでもいい　 [ fn7 ]

勉強+後で調べる　 [ tofu-kun ]

間違ったというより自分のフィールドだけでやって誤解を呼ぶという感じ。まぁ雑誌もイロイロ事情があることを含めてこの記事でフィールドがあるべきところに戻ってユーザにとってはこちらが望むべき着地点かな。　 [ p-4 ]

「uidに12桁の文字列を指定した場合はそれがどんな値だろうと強制的に正しいユーザIDに書き換えられてしまう」へぇ，凄ェ（笑）ここまでは知らなかったなぁ．　 [ onk ]

携帯での認証の話　 [ HISAMATSU ]

>携帯用のセッションIDとPC向けのセッションIDは共有してはいけない｜む　 [ hamasta ]

我田引水な意見やね。＞「キャリア毎のIP制限をしてあれば」それについて書いていないことは認めつつ、何故か携帯電話からアクセスすることと思い込んでたりどっちが勘違いしてるのか本気で意味不明な感じ　 [ bsheep ]

DoCoMoはゲートウェイで端末IDを書き換える。←iアプリ対策?他キャリアは承認したソフトしか使えない前提で仕様を作ってる?←アプリが自由に使えるようなったときに仕様が変わるかも?　 [ ultraist ]

キャリア毎にIPアドレス制限をする限りにおいては端末IDやユーザIDは偽装不可能＊3なので、むしろ他人でも入力可能なパスワード認証よりも強力な認証かもしれません。逆にいえばその認証方法があるからこそ携帯業界では　 [ Seacolor ]

ケータイ特有のセキュリティ事情・・・　 [ ymorimo ]

旧vodafone端末にブラウザをいじれそうな（というかいじったブラウザでWAPにアクセスできそうな）端末があったのは内緒だ（実際にやった奴は多分いないし、もう対策されてるだろ、多分）　 [ ukidousan ]

utn絡みの詐称とかそこらへんも細かく確認してる　 [ ito.tetsunosuke ]

これは同意だけどNDA守らなくても良い理由にはならないと思う。＞情報が少ないことにより正しい実装に関する議論が育ちにくい。　 [ terazzo ]

同じ事思ってた「どうせ携帯のIPからしか許可しないんだから、問題なくね?」みたいな。　 [ cyan0302 ]

ユーザIDはGWで付加するから偽装はできない模様。ユーザID使えるなら使った方がいいってことだな／高木氏は端末IDについてしか述べてない　 [ cubed-l ]

IPアドレス一覧は公開されているみたいです。http://q.hatena.ne.jp/1170758033　 [ worris ]

携帯端末自身の改造は?→コストとの兼ね合いだろうな　 [ tohokuaiki ]

べき論からいうと間違いではないと思うけど、現実はそれだと何もできないということですな。本来は現実をただすべきだけど、既存のものについてはキャリアの都合だけではもはや（コストの面で）変更不能な気がする。　 [ NOV1975 ]

携帯電話の偽装認証について　 [ yukiex ]

携帯サイトでセッション管理が安全にできる理由　 [ harupiyo ]

携帯サイトにおいて、端末IDやユーザIDが偽装できない理由（IPアドレスの制限が前提）。（→駄目かも：http://kaede.to/canada/doc/ipaddress-of-cellphone）　 [ wacky ]

携帯って不思議な独自規格があるからやめて欲しい　 [ shun262 ]

ドコモ等の認証について　 [ youichirou ]

携帯認証についてのコメント　 [ bizero ]

とにかくIP制限。　 [ p_chopin ]

ケータイ　 [ webmarksjp ]

事実上安全であることと本来安全であることは違う気がする．それと端末を譲り受けるなど場合が考えられるので，端末IDとユーザは1対1にはならないのでは．　 [ mi1kman ]

セキュリティ原則とかじゃなくて実用的視点から概ね同意。心配なのは白ロム買っても端末IDは変わらないのと、あとよく知らないけどiアプリ・WindowsMobilephoneでhttpパラメタ偽装とかできない仕様になってるのかなぁ。　 [ toton ]

人のいっていることをそのまま信じちゃうのはだめだね!教訓。　 [ aebisawa ]

ケータイでのネット閲覧はなんだかんだいってセキュリティが保たれてるって話。となると，端末自体を改造しないかぎりは不正アクセスはできないと。　 [ myrmecoleon ]

携帯のWeb閲覧での認証の話。端末IDとユーザIDは偽装できないのでこの二つを認証に使っても安全らしい。　 [ dlive1 ]

携帯の端末ID,ユーザIDについて　 [ rna ]