- yousukezan
- 9557
- 0
- 14
- 1
Softbankの海外スマフォン向けのAPNを経由すると、端末詐称できるのは有名な話。確かに聞いたことあんな。UserAgent変えて課金回避のネタだったかな。 #wasf
2010-05-22 14:04:18X-JPhone-UID: は削除した上本物を付与するが、User-Agent: 中野端末シリアル番号は素通りする。 #wasf
2010-05-22 14:05:03「公式な解説がなく、素人のずさんな解説が蔓延。e.g. 接続元アドレス制限に Google用の穴を開ける。/ EMnetだけでなく、ソフトバンクも X-JPhone-UID に類似の問題。User-Agent 中の端末シリアル番号は素通りするので認証に使ってはいけない #wasf
2010-05-22 14:06:11株式会社トライコーダって… RT @shita: また、仲間はずれだ・・・ orz RT @cchanabo: おー、また濃いスピーカー陣ですねぇ・・・。 RT @Akira_Murakami: http://wasforum.jp/conf2010/program/
2010-05-22 14:09:38「U-A: がソフトバンクの所定のものでなければ拒否される。'所定の文字列' の後ろの文字列は無視される。ウェブアプリ側のキャリア判定ロジックによっては、後ろの文字列に反応して誤った判定をする可能性。→ 本当にアプリ側の責任? 公式情報の不在。対策を明確化できない。 #wasf
2010-05-22 14:10:03環境変数経由で取得する場合はX-JPHONE-UIDとX_JPHONE_UIDが同じ名前になるのでX_JPHONE_UIDで送れば詐称できる可能性がある罠。 #wasf
2010-05-22 14:14:20UNIX系の環境変数を使うCGIの場合、ハイフンが使えないので、アンスコに変換するのは定石。そこに落とし穴がある。 #wasf
2010-05-22 14:14:21「IPアドレスでのキャリア判定は確実ではない。公式情報の不在 →他キャリアと統合したサイト構築の方法は保証外。/ SSL接続で得たID はそのまま届く。任意に変更可能な場合に危険。HTTP/SSL のページを提供していないつもりでも稼動してしまっている場合もある。 #wasf
2010-05-22 14:17:31@kthrtty bearer token じゃだめというのは言い過ぎだな。公開された bearer token は駄目だに訂正します。携帯の固有番号はそれです。 #wasf
2010-05-22 14:17:49ひろみつさ曰く、IPアドレスリストの更新・告知の運用はあまりにもお粗末。某ポータルのエンジニア曰く、PDFをparseして、dailyで取得してリストに登録してる。苦肉のさくすぎる #wasf
2010-05-22 14:17:54配った後で:「いま皆様が食べたクッキーの中には、模造品があります。食べた人は失格です」 QT @ash7: いま配るなら飴じゃなくてクッキーではないのか、という話はたしかにある。 #wasf
2010-05-22 14:18:04「キャリアIPアドレスの明確な情報。HTTP/SSLでの安全な提供方法がない。機械的に処理可能な明確な記述がない。使用IPアドレスの増減。などなど。 #wasf
2010-05-22 14:20:28運営側で自信を持って試食したと @okdt が豪語していたので、別のトラップがあると思われRT @tyamadajp: 配った後で:「いま皆様が食べたクッキーの中には、模造品があります。食べた人は失格です」 QT @ash7: いま配るなら飴じゃなくてクッキーでは #wasf
2010-05-22 14:21:46