PHP×携帯サイトデベロッパーズバイブル:俺も買ったよ!!脆弱性・・・ふむふむ。
PHP×携帯サイトデベロッパーズバイブルに書かれている『簡単ログイン機能』についての脆弱性がちょっとした話題になってるね!!
実は、モバイル対応のサービスを今後作りたいと思ってて、先日俺も買ってたんだよね〜!!
ちなみに、この記事がそれにあたる。
ヤッターと思ったら・・・orz
http://d.hatena.ne.jp/fmaction/20080929/1222658662
で、どんな脆弱性かというと
●p.266 7-5「かんたんログインを実装する」について「かんたんログイン」について、携帯電話ではセッションIDを用いる方法と個体識別番号を使った方法を記載しておりますが、セキュリティに関する記述に不備がありました。
本書に記載されている「かんたんログイン」の実装方法では、リクエストヘッダーなどを書き換えることにより、PCで第三者がなりすまして不正なログインをされてしまう可能性があります。そのため、「かんたんログイン」を実装する際は、携帯キャリアゲートウェイのIPアドレスから来るアクセスのみに限定するよう留意してください。ユーザーエージェントではなく、IPアドレスで制限することによって、携帯電話本体からWebサイトにアクセスされることを確かなものとすることができます。
IPアドレスによるアクセス制限については、p.64 3-9「携帯電話以外からのアクセスを制限する」をご覧ください。
との事らしい。
Web開発とセキュリティの問題って、今後もついてまわる事なので、参考になりました!!
引用元記事
http://www.sbcr.jp/books/errata/art.asp?newsid=2271
著者のブログ
http://ideaup.seesaa.net/article/108141154.html
言及しているブログ
http://www.tokumaru.org/d/20081014.html
http://www.ideaxidea.com/archives/2008/10/php_1.html