-
yousukezan
- 9557
- 0
- 14
- 1
-
- いいね!1
Katsu Tatsu
@kthrtty
Softbankの海外スマフォン向けのAPNを経由すると、端末詐称できるのは有名な話。確かに聞いたことあんな。UserAgent変えて課金回避のネタだったかな。 #wasf
2010-05-22 14:04:18
Nat Sakimura/崎村夏彦
@_nat
X-JPhone-UID: は削除した上本物を付与するが、User-Agent: 中野端末シリアル番号は素通りする。 #wasf
2010-05-22 14:05:03
@nsiena
「公式な解説がなく、素人のずさんな解説が蔓延。e.g. 接続元アドレス制限に Google用の穴を開ける。/ EMnetだけでなく、ソフトバンクも X-JPhone-UID に類似の問題。User-Agent 中の端末シリアル番号は素通りするので認証に使ってはいけない #wasf
2010-05-22 14:06:11
みなみ零
@mr511724ks
株式会社トライコーダって… RT @shita: また、仲間はずれだ・・・ orz RT @cchanabo: おー、また濃いスピーカー陣ですねぇ・・・。 RT @Akira_Murakami: http://wasforum.jp/conf2010/program/
2010-05-22 14:09:38
@nsiena
「U-A: がソフトバンクの所定のものでなければ拒否される。'所定の文字列' の後ろの文字列は無視される。ウェブアプリ側のキャリア判定ロジックによっては、後ろの文字列に反応して誤った判定をする可能性。→ 本当にアプリ側の責任? 公式情報の不在。対策を明確化できない。 #wasf
2010-05-22 14:10:03
rryu🐋
@rryu2010
環境変数経由で取得する場合はX-JPHONE-UIDとX_JPHONE_UIDが同じ名前になるのでX_JPHONE_UIDで送れば詐称できる可能性がある罠。 #wasf
2010-05-22 14:14:20
Katsu Tatsu
@kthrtty
UNIX系の環境変数を使うCGIの場合、ハイフンが使えないので、アンスコに変換するのは定石。そこに落とし穴がある。 #wasf
2010-05-22 14:14:21
@nsiena
「IPアドレスでのキャリア判定は確実ではない。公式情報の不在 →他キャリアと統合したサイト構築の方法は保証外。/ SSL接続で得たID はそのまま届く。任意に変更可能な場合に危険。HTTP/SSL のページを提供していないつもりでも稼動してしまっている場合もある。 #wasf
2010-05-22 14:17:31
Nat Sakimura/崎村夏彦
@_nat
@kthrtty bearer token じゃだめというのは言い過ぎだな。公開された bearer token は駄目だに訂正します。携帯の固有番号はそれです。 #wasf
2010-05-22 14:17:49
Katsu Tatsu
@kthrtty
ひろみつさ曰く、IPアドレスリストの更新・告知の運用はあまりにもお粗末。某ポータルのエンジニア曰く、PDFをparseして、dailyで取得してリストに登録してる。苦肉のさくすぎる #wasf
2010-05-22 14:17:54
Taisuke Yamada
@tyamadajp
配った後で:「いま皆様が食べたクッキーの中には、模造品があります。食べた人は失格です」 QT @ash7: いま配るなら飴じゃなくてクッキーではないのか、という話はたしかにある。 #wasf
2010-05-22 14:18:04
@nsiena
「キャリアIPアドレスの明確な情報。HTTP/SSLでの安全な提供方法がない。機械的に処理可能な明確な記述がない。使用IPアドレスの増減。などなど。 #wasf
2010-05-22 14:20:28
'ash' - T.ASHIDA
@ash7
運営側で自信を持って試食したと @okdt が豪語していたので、別のトラップがあると思われRT @tyamadajp: 配った後で:「いま皆様が食べたクッキーの中には、模造品があります。食べた人は失格です」 QT @ash7: いま配るなら飴じゃなくてクッキーでは #wasf
2010-05-22 14:21:46