クロネコモバイルの脆弱性についてまとめ

モバ提督 @yubile

できるだけ正確に伝えたいので、RTお願いします。 "YOMIURI ONLINEに掲載された「iPhoneで人の情報丸見え」記事について、当事者から。" http://ow.ly/2YCh8 #iphonejp #ipadjp

徳丸 浩 @ockeghem

@mai_413 ソフトバンクは同じIDを発行してないです。モバイルブラウザのエミュレータが発行しているIDですから、ソフトバンクは関知しようがない。Yahoo!ケータイのゲートウェイも通ってないですし

新納 正康 @masanori_niino

Androidでも起こる可能性ありますしね RT @ockeghem この記事だけだと、どこに原因があるのか分かりませんね / ｉＰｈｏｎｅで人の情報丸見え…閲覧ソフト原因 : 社会 : YOMIURI ONLINE（読売新聞） http://htn.to/bMJa1g

スミヒロは酒飲み🍶 @sumihiro

@yubile 初めまして。SBrowserの中の人です。今回の件について詳細な経緯を公開していただき、感謝致します。こちらでは記者から詳細な項目を聞かされませんでしたのでとても助かりました。また、冷静な対応をしていただいた事に本当に感謝致します。

徳丸 浩 @ockeghem

『クロネコヤマトに通報するべきかと最初は思ったが、一般人が言ったところで聞いてもらえるかは分からない【略】そこで、セキュリティの専門家である高木浩光氏に相談のメールを送った次第だ』<GJ / Moba Photo Life!!: YOMI… http://htn.to/Q3vJn

新納 正康 @masanori_niino

uidのセキュリティ脆弱性は高木さん他が以前より指摘されてますね。キャリアの責任は大きい.. RT @sumihiro 自社プロダクトが火種になった事はとても遺憾ではあるけれども、今回の件を鑑みて「携帯の識別番号だけで簡単ログイン」という機能が滅びてくれると嬉しい

小山安博 Yasuhiro Koyama @surblue

確かにGJ RT @ockeghem: 『クロネコヤマトに通報するべきかと最初は思ったが、一般人が言ったところで聞いてもらえるかは分からない【略】そこで高木浩光氏に相談のメールを送った』<GJ / Moba Photo Life!!: … http://htn.to/Q3vJn

スミヒロは酒飲み🍶 @sumihiro

@yubile 今回の騒動で様々な対応を求められたであろう事に関しては申し訳なく思います。技術的な側面に関して高木先生にご連絡頂いた事でこの脆弱性についての社会の認識が一転するでしょう。ご報告頂きありがとうございました。

モバ提督 @yubile

@sumihiro 初めまして。むしろ作者の方に確認もとらずに記事を掲載してしまってすみませんでした。やっと事情を公にできる、と意気込んでしまったもので…ともかく、何かの助けになったなら幸いです。

あやこ@配送業はやめとけ @mai_413

@ockeghem なるほど。ブラウザの問題とサイトの脆弱性だったわけですね。そうなるとソフトバンクにはどうにも出来ませんね。読売の記事は説明不足ですね。

スミヒロは酒飲み🍶 @sumihiro

@yubile いえ、公開して頂いて本当に感謝しています。読売新聞のサイトに掲載された記事はは言うまでもなく、紙面の記事でも経緯や背景が読み取れませんでした。当事者の方の記事でのみ皆さんに冷静な判断をお願い出来ると考えております。

モバ提督 @yubile

@sumihiro いえ、これはこれで貴重な経験でしたし、ややこしい所は高木先生がやってくださっているので、私は大した事はしていませんし…でも、良い方向に変わることに貢献できていたら嬉しいですね。こちらこそありがとうございました。

スミヒロは酒飲み🍶 @sumihiro

@yubile 私も今回の一件でネットがより良い方向へ向かっていくと信じております。本当にありがとうございました。

あやこ@配送業はやめとけ @mai_413

@ockeghem 携帯各社のゲートウェイを通っていなくても携帯用サイトへアクセス出来る作りであることから責任が重いわけですね。

空白さん @kuhaku_san

クロネコモバイルの簡単ログインなくなってた

@Shuji

@sumihiro 何とも半端な記事でしたね。これからきちんと整理された情報が伝わって、携帯の端末IDに頼りすぎている現状が変わるきっかけになれば良いですが。

スミヒロは酒飲み🍶 @sumihiro

@shuji 全く持ってその通りに思います。このような仕組みはサイトの管理者だけではなく上の方の人にも知って頂くべき話だと思うのですが、これだけでは目くらましにしかなってないように見えます。

Miho @mihochannel

うーむ、この女性会社員がおばかなのもあると思うのだが？サブスクライバIDを偽るってSBrowserにはちゃんと書いてあるし。http://www.yomiuri.co.jp/net/news/20101025-OYT8T00221.htm?from=kj

Miho @mihochannel

SBrowserに識別番号のランダム設定や任意設定する箇所あるから、個人情報やりとりするサイトに行く前に設定するよね？ふつう

スミヒロは酒飲み🍶 @sumihiro

高木先生のコメントがついていませんが記事全文出ました。 >ｉＰｈｏｎｅで人の情報丸見え…閲覧ソフト原因 http://bit.ly/aU4XgJ

にーまる。 @typex20

新聞自体は拝見してないのですが、iPhoneの端末自体のセキュリティも信頼できないですから固有IDを使う認証は非常に危険ですね。RT @ockeghem: 紙の新聞の方だと、高木浩光氏のコメントが掲載されていますね

Hiroyuki-Fujikawa.OXP @cqa02303

@sumihiro 対策ガンバテー

スミヒロは酒飲み🍶 @sumihiro

@cqa02303 InReviewのまま数日が過ぎてます。Appleにも取材したとのことですので、なんらかの判断待ちなのかもしれないです。

Hiroyuki-Fujikawa.OXP @cqa02303

@sumihiro これは緊急レビュー使う案件なのでは？

スミヒロは酒飲み🍶 @sumihiro

@cqa02303 その手がありました。あれってADCに電話するんでしたっけ？