【社会】 "個人情報閲覧…怖い!と女性" ヤマト運輸のサイトが悪い?アプリが悪い?iPhoneが悪い?…個人情報閲覧問題at NEWSPLUS
【社会】 "個人情報閲覧…怖い!と女性" ヤマト運輸のサイトが悪い?アプリが悪い?iPhoneが悪い?…個人情報閲覧問題 - 暇つぶし2ch74:名無しさん@十一周年
10/10/25 13:38:41 MVB7Ew+gP
>>53
あれだけ裸でもレギュレーションによって「危険性がある」で済ませられるほど原理的には固い認証法だから。
近代化すればパスワードあたりよりは固い。

>>60
経路を押さえる必要があるが、これがかなり難しい。
通販で偽の住所を書いて注文したら自分には届かない

75:名無しさん@十一周年
10/10/25 13:39:27 fDwJOOML0
決めうちでもそうでなくても同じだろ
他人の識別IDを用いてサイトにアクセスすればそれは成りすましと変わらない
サイトよりもそれを用いてアクセスした人が処罰されるべき

76:名無しさん@十一周年
10/10/25 13:40:06 un2O8Ei00
SBrowserが諸悪の根源なのは間違いない
ヤマトはちゃんとiPhone弾くように作らなかったのが悪いわ

77:名無しさん@十一周年
10/10/25 13:41:29 CEA2HZzd0
ヤマトには業務停止命令を出すべき

78:名無しさん@十一周年
10/10/25 13:42:15 lv4IWw4N0
>>74
結局、セキュリティグダグタのiPhoneを、SBが携帯の網にのせちゃったのが問題だよね。

79:名無しさん@十一周年
10/10/25 13:43:41 kF3mH/Qs0
iPhoneやsbbrowserだけ禁止すれば問題解決
 
というのは全く筋違いで、危険な解決法。
パソコンだろうとほかのスマホだろうと
ユーザーエージェントを設定するだけで
同じことがおきてしまう。
ヤマトの側で、IMEI番号だけの「携帯型の簡単ログイン」を禁止し、
たとえばGmailのように期限付きクッキーによる認証に変えないとだめ

80:名無しさん@十一周年
10/10/25 13:44:09 K5tuxNawP
なんでパンダを許可してんだよ

81:名無しさん@十一周年
10/10/25 13:44:55 A6cYDcCFO
識別番号を偽造されちゃったらサーバはどうやって端末を認識するんだ

82:名無しさん@十一周年
10/10/25 13:45:15 Eg6c5giG0
これって仕組みそのものに穴があるってことじゃないの?
ヤマトは悪くないような・・・

83:名無しさん@十一周年
10/10/25 13:46:16 oIKoib3O0
>>75
ノーガード戦法はいい加減やめてください

84:名無しさん@十一周年
10/10/25 13:47:16 lv4IWw4N0
>>75
>他人の識別ID
じゃなくて、SBrowserの規定値。
他人の識別IDは、その携帯手にいれなきゃわからんよ。

85:名無しさん@十一周年
10/10/25 13:47:30 kF3mH/Qs0
たとえばmixiは同じソフトを使ってもアクセスできない
ヤマトのセキュリティが不足

86:名無しさん@十一周年
10/10/25 13:48:51 xmO+Zj/50
>>78
乗せてないよ。panda-worldで区別されてるよ
ヤマト側が意図的に一般携帯扱いしてるんだよ

87:名無しさん@十一周年
10/10/25 13:48:52 ZapTwT060
URLリンク(www.itmedia.co.jp)
読売と内容全然違ってワロタ

88:名無しさん@十一周年
10/10/25 13:49:53 wz7V9yr60
SOFTBANKがまた悪い事をしたらしいな

89:名無しさん@十一周年
10/10/25 13:50:18 xW3F7DMU0
>>51
何言っているんだ?
ソフトの欠陥にユーザは責任取れないぞ。

90:名無しさん@十一周年
10/10/25 13:50:22 un2O8Ei00
>>79
偽装対策すればいいだけだろ
携帯でIDパスワード入力とか舐めてんのってぐらいうざいんだが

91:名無しさん@十一周年
10/10/25 13:52:00 5pP5aUgFO
これってID偽装している奴らの個人情報が共有されたって事だろ

92:名無しさん@十一周年
10/10/25 13:53:24 r2MRwfJT0
これって、スマートフォンに携帯ブラウザ突っ込んで
携帯サイトみてても同じ事なんだろ?


93:名無しさん@十一周年
10/10/25 13:54:39 i6Jj95f00
>>10
図書券ってもうナイだろ…

94:名無しさん@十一周年
10/10/25 13:55:03 sCo8HC/O0
結局IDだけで入れるのが問題なんだろうな

95:名無しさん@十一周年
10/10/25 13:55:39 oIKoib3O0
>>91
誰かが他人の端末ID使って片っ端から収集した可能性はある
少なくともそういう事を阻止できる仕組みにはなってなかった

96:名無しさん@十一周年
10/10/25 13:56:15 cPtMfOY60
高木先生のブログをちょっとでも読んだことのある奴なら
ヤマト運輸は悪くないとか携帯端末ID認証はセキュアみたいな
バカなことは言えなくなると思うんだけどな

97:名無しさん@十一周年
10/10/25 14:03:35 PSYeH7TR0
>>96
はげどう

ヤマトがアホすぎるだけだろ

98:名無しさん@十一周年
10/10/25 14:04:44 FezXm7W30
出会い系サイトとして新たにスタートすれば?

99:名無しさん@十一周年
10/10/25 14:06:14 afw3DGIYO
運輸業界最大手のヤマト運輸がこの程度セキュリティーとか舐めてんのか?
さすがブラック企業

100:名無しさん@十一周年
10/10/25 14:06:39 N2lXMGL8O
>>10
今は図書券なんかねえよ小母さん

101:名無しさん@十一周年
10/10/25 14:07:49 UONcEquH0
読売、ニュースのタイトルがあまりにもおかしすぎる。
あれじゃあ一般の人はiphoneに問題があるんかと思ってします。

102:名無しさん@十一周年
10/10/25 14:08:56 gWbGlZDH0
ケータイサイト(笑)

103:名無しさん@十一周年
10/10/25 14:09:20 uVucLVCv0
ん?
今回の件って、問題のブラウザが携帯IDを固定値で持ってたからだろ?
たとえば、一般携帯のIDが「0001~9999」とかで個別だったときに、このブラウザはそのIDを「AAAA」とかで決め打ちにしてた

Aさんが利用登録 ⇒ システムはAさん=「AAAA」と登録
Bさんが利用登録 ⇒ 携帯ID「AAAA」だからこの人はAさんだ ⇒ Aさんの会員ページ

スマホが普及するまで、入力の不便な携帯ではこういう認証が主流だったんだし
携帯ID偽装を許した側の問題な気がするが

104:名無しさん@十一周年
10/10/25 14:10:52 a8EPneaD0
ヤマト運輸は、無料でまたやれよ

105:名無しさん@十一周年
10/10/25 14:11:11 PSYeH7TR0
>>103
URLリンク(takagi-hiromitsu.jp)
URLリンク(takagi-hiromitsu.jp)

読んどけ

106:名無しさん@十一周年
10/10/25 14:11:24 UONcEquH0
ユニークIDがあれば認証ができるという幻想 By高木先生
URLリンク(takagi-hiromitsu.jp)

107:名無しさん@十一周年
10/10/25 14:12:07 EmZGE6G20
>>3
尻の下に敷いてるのは誰やねん!!!

108:名無しさん@十一周年
10/10/25 14:14:13 PSYeH7TR0
URLリンク(d.hatena.ne.jp)
6,7年前から問題視してる人が居るのに、
未だにそのままってのは何なんだか

109:名無しさん@十一周年
10/10/25 14:14:49 uVucLVCv0
ああいや、そういう非現実的な理想論はどうでもよくて
現実に既存のシステムがそう稼働している状況下で、影響範囲を想定せずにゴーサインを出したのが問題だろ?ってこと

システム運営している側は第三者なんだから、携帯ID偽装OKのゴーサインが出る前に連絡貰ってシステム作り変えない限り
対応できないっしょ
エスパーになれとか非現実的な話じゃなくてね

110:名無しさん@十一周年
10/10/25 14:17:08 uVucLVCv0
その問題視している人が、もっと現実的な話をしてれば信用されたんだろうけど
非現実的な理想論者は現場には受け入れられないから、たぶん現場サイドは誰も知らなかったと思うし
後だしジャンケンみたいなもんだよね、ユニークID認証の神話が神話ではなく現実として稼働していたんだから

111:名無しさん@十一周年
10/10/25 14:17:40 Z/KcWgbc0
>>3
何が怖いかわからん。

112:名無しさん@十一周年
10/10/25 14:20:20 2Iw4U+BM0
>>58
> つまり、自分の家の敷地内に不法侵入されても
> 防御してない方が100%悪いって事?

不法侵入と例えられる事象は起きていない。

113:名無しさん@十一周年
10/10/25 14:21:12 8ZOtlssQ0
アイフォーンが出てくる前からの問題でしょ。
携帯を盗まれたら色んな意味で個人情報抜かれまくりな上に今は携帯で決済まで出来てしまう時代だからね。
携帯を盗まれる代わりにアイフォーンが出てきただけの話。


114:名無しさん@十一周年
10/10/25 14:22:05 un2O8Ei00
>>105-106 >>108
iモードにCookieつけろってぶーたれてるだけじゃん
オリジナル仕様はやめろって言ってるくせに既存のルール無視した独自仕様のアプリ作って騒ぎ起こして何がしたいのって感じ

115:名無しさん@十一周年
10/10/25 14:24:01 KDRw9QHp0
>>1

マカ<丶`Д´>「いい加減、ネガキャン厭きたニダ!!」


116:名無しさん@十一周年
10/10/25 14:25:01 13cFQmhG0
だからサイトの作りの問題でしょうに
IPでiPhoneを弾けばUIDがどうこう以前に表示すらできないんだから
それをやっていないヤマトがダメ

117:名無しさん@十一周年
10/10/25 14:25:09 Tt3yuZGn0
昔ローンソが情報漏れで500円だかの金券か何かを送ってきたな

118:名無しさん@十一周年
10/10/25 14:27:04 PSYeH7TR0
>>114
まぁ20年以上昔のインターネットならそれでも良かったかも知れないけど、
今は悪意があるユーザも居る世界なんだから
脆弱性がわかってる状態で放置してる方も馬鹿

119:名無しさん@十一周年
10/10/25 14:30:48 MVB7Ew+gP
>>106
OAuthみたく各サービスに対するトークンの保持でOKでしょ
ユーザのユニークIDを保持するのはキャリアだけで、
各サービスプロバイダにはキャリアから
ユーザとサービスの積集合に対するユニークなトークンを配るだけでよし

120:名無しさん@十一周年
10/10/25 14:31:08 lIJ4bK80O
個体識別番号を何の捻りもなく送りつけるという携帯電話の仕様も腐ってるが、
基本的にはヤマトのサイトの作りが悪いね。
個体識別番号を利用者の特定に使うのなら、キャリアの閉域網からのみアクセス可能とし、
インターネットからのアクセスは出来ないようにしないといけない。
(それが出来ないのであれば、個体識別番号以外にパスワード入力等の本人確認手段を用意しないと)

でも、同じような問題抱えているサイトは多いだろうなぁ…。キャリアと個別に接続しているところの方が少ない。

121:名無しさん@十一周年
10/10/25 14:31:33 avCDKZsV0
IDなんてハックツールあれば
いくらでも作れるんだから
パスワードを要求しないのがセキュリティ的に一方的に悪いだろ悪い

122:名無しさん@十一周年
10/10/25 14:32:55 cW2jXz8JP
クッキー食えない携帯ってdocomoだけなのね。

123:名無しさん@十一周年
10/10/25 14:33:55 oGslabgi0
これ使えばiPhoneでTDRの待ち時間が見れるようになるのか?

124:名無しさん@十一周年
10/10/25 14:35:34 wRJQYjLz0
アイホンてケータイのID無いの?

125:名無しさん@十一周年
10/10/25 14:39:21 ELCSGqxW0
携帯IDをつかった個別認識なんて利用してるなよ。
ずっと昔からセキュリティ上の問題点が指摘され続けてきているというのに。

126:名無しさん@十一周年
10/10/25 14:39:57 cW2jXz8JP
>>124
あるけど、それ使うと危ないって話。自動ログインは、重複しないIDを自動生成してサーバーとデバイスのクッキーに保存するんだけど、docomoの携帯はクッキー保存出来ないデバイスが多いんで、みんなで危ない橋を渡ってる。

127:名無しさん@十一周年
10/10/25 14:47:12 urVwERsD0
配送はヤマト一択
佐川クソすぎ

128:名無しさん@十一周年
10/10/25 14:52:36 /CR10tSJP
>>110
ユニクロの話を詳しく教えてください。


129:名無しさん@十一周年
10/10/25 15:11:58 gt4C21nX0
またヤマトか

130:名無しさん@十一周年
10/10/25 15:16:27 KxsuA11EP
これってPCから偽装して覗くこともできたってことでしょ?
IDとかパスで認証するんじゃなかったのか

131:名無しさん@十一周年
10/10/25 15:18:40 BYVcca8EO
ジョブズ「我々を除く全てが悪い」

132:名無しさん@十一周年
10/10/25 15:24:21 tyL3M3Ge0
iPhoneじゃねーじゃん

ヤマトのセキュリティだろ

133:名無しさん@十一周年
10/10/25 15:24:31 iPvDOHz40
>>9
UDID はiphone の問題だろが
アンドロイドで似たようなのがあるのはauだけ

134:名無しさん@十一周年
10/10/25 15:26:45 iPvDOHz40
>>22
だからこんなアホなことしてるのはiphone だけなんだよ
今も所は

135:名無しさん@十一周年
10/10/25 15:27:05 oIKoib3O0
>>133
UDIDの問題とかじゃないから
偽装端末IDで認証通っちゃうサイト側の問題だから

136:名無しさん@十一周年
10/10/25 15:30:42 iPvDOHz40
>>132
どうしてこういうあからさまな嘘を書く奴が出るんだよw

やっぱりソフトバンクだからか?

在日割引は無い、もおお嘘だったしね。
嘘八百は逆効果だぞ。

朝鮮人に言っても無駄かな?

137:名無しさん@十一周年
10/10/25 15:34:41 xmO+Zj/50
ソフトバンクに罪を被せて黒猫を守る火消し方針になったのか

138:名無しさん@十一周年
10/10/25 15:34:57 jwU3tr9/0
ヤマト内部のスーパーハカーはP2Pで流出した個人情報を回収出来るらしいから、そのひとに頼めばいいんじゃね?


139:名無しさん@十一周年
10/10/25 15:37:28 VPEuYxJFO
>>111
右の女性の下

140:名無しさん@十一周年
10/10/25 15:38:43 PSYeH7TR0
>>136
個人的感覚としては、
2:8でヤマトが悪い
2割ぐらい、SBMが悪い
って感じかなぁ

根拠ないw

141:名無しさん@十一周年
10/10/25 15:47:20 CEA2HZzd0
ソフバンもヤマトも使わないでFAだろw

142:名無しさん@十一周年
10/10/25 15:48:06 XcwCpNK90
>>140
結局スマートフォンのなりすましには違いないじゃん
わざと隙間からすり抜けたなら、どう考えてもスマートフォンと五分五分だろ

143:名無しさん@十一周年
10/10/25 15:53:48 cq9FNO7l0
これは iphoneが悪いと印象操作か

どう考えても
クロネコのシステムが悪い

NECのノートパソコンで クロネコにハッキングしたら
NECのノートパソコンでハッキング!!
と書くのだろうか

商品名を特定するのはまずいだろ
アップルは 読売新聞を訴えてもいいレベル

144:名無しさん@十一周年
10/10/25 15:58:42 rOIP7Vdk0
>>139
きゃあああああああああああああああ
あああああああああああああああああ
ああああああああああああああああ

顔が~~


145:名無しさん@十一周年
10/10/25 16:02:16 cPtMfOY60
「悪意を持ったものであれば簡単に他人の個人情報を
見ることができる状態になっていた」ことが問題なのにね

146:名無しさん@十一周年
10/10/25 16:04:30 NkmZkdQ+0
>高木氏からは「以前から氏が警告していたケータイID絡みの問題」
>「問題はサイト側にある」などのコメントを貰ったという。

たしかにこのひと、前からこの件についていろいろ書いていたよね。
ざっと見て、ケータイはこえーなぁという印象を持った。よく覚えてないが。

147:名無しさん@十一周年
10/10/25 16:04:35 Vau8uSodO
これはスマートフォンの話であって
普通の携帯とPCは関係ないの?

148:名無しさん@十一周年
10/10/25 16:12:30 EutwwFyq0
>>50
なんだやっぱヤマトが悪いんじゃん
もしかして読売がヤマトを加害者にしなかったのは広告をもらえなくなるからですか?

149:名無しさん@十一周年
10/10/25 16:15:46 cW2jXz8JP
クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性
ヤマト運輸のケータイサイトの「クイックログイン」に問題が。「PCでは見えないはず」に頼ったサイトの危険性があらわになった。
URLリンク(www.itmedia.co.jp)

150:名無しさん@十一周年
10/10/25 16:15:46 AkSS9XKY0
個体識別なんていう気色悪いことを元からやってる携帯が悪いし
それを疑問に思わず使ってる携帯ユーザーも悪い

151:名無しさん@十一周年
10/10/25 16:15:49 EutwwFyq0
>>87
さすがにIT系ニュースはちゃんと把握してるのね

152:名無しさん@十一周年
10/10/25 16:17:19 kF3mH/Qs0
>>記者の方の名誉のために言っておくと、サイトに掲載する担当は別にいるそうで
>>書いたご本人も「こんな風に縮められるとは思わなかった」とのこと
 
それを4スレも取り上げるニュー速+やビジネス+もなんだか。

153:名無しさん@十一周年
10/10/25 16:19:36 BiaerYxd0
面倒だけど暗証番号入れろよ

154:名無しさん@十一周年
10/10/25 16:20:08 NkmZkdQ+0
ヤマトが悪いというよりは、
そもそも携帯の業界で常識化してしまっている認証方法が
根本的に終わってて、しかも危機感なくそれを使い続けてるって感じ?

URLリンク(www.itmedia.co.jp)

URLリンク(takagi-hiromitsu.jp)
URLリンク(takagi-hiromitsu.jp)

155:名無しさん@十一周年
10/10/25 16:20:28 xYkNi3cS0
auのezwebなら問題ないのか

156:名無しさん@十一周年
10/10/25 16:25:49 aQNItT3l0
これってソフト会社が勝手に携帯ID捏造して提供しているって事でいいのか?


157:名無しさん@十一周年
10/10/25 16:26:05 sCBCcNRI0
こんなもん全てのスマートフォンで起こる話で、
そもそもお粗末過ぎるユーザ認証を利用してきたケータイサイト運営側の問題だろうに。

技術が理解出来ないって可哀想な事だな。
世界が次へ進んで行くのに、
これからも謎のブラックボックスに怯えながら生きて行くのだらう

158:名無しさん@十一周年
10/10/25 16:28:42 sCBCcNRI0
つうか過去の慣習ってだけで
セキュリティもクソも無い杜撰な認証システムを放置してきた運営側の問題だが、

ヤマトに限らず、ほぼ全てのケータイサイトが同じ問題抱えてるだろ

159:名無しさん@十一周年
10/10/25 16:31:09 2mNSTd5w0
サイトのアドレスのあとに"/user"といれたらリストが出てきたみたいな話

160:名無しさん@十一周年
10/10/25 16:32:33 0yFN5KKc0
あんまりネットサービスは利用しないようにしているけれど、
それでも個人情報を入力せざるを得ない時ってあるもんなぁ・・・・

161:名無しさん@十一周年
10/10/25 16:35:27 oIKoib3O0
>>155
多分だけど、一度でもクイックログインした事のある全員の情報が端末IDだけで閲覧可能な状態だったはず

162:名無しさん@十一周年
10/10/25 16:37:46 R8054sz/0
IDが名前、パスが名前名前で登録してる奴多い


163:名無しさん@十一周年
10/10/25 16:38:26 kF3mH/Qs0
端末IDは変えられない。
「勝手サイト」にも、必ず自動でIDが送信されてしまう。
 
つまり特定の個人のアクセス記録が、隠せずに残ってしまうということで、
もう、このことだけでもガラケーの怖さがわかると思う


164:名無しさん@十一周年
10/10/25 17:24:57 zCsOkNTZO
要するに携帯のクイックログイン自体がヤバいって事なんだよな?
確認したらYahoo!メールと尼がクイックログイン状態だったので
とりあえずログアウトしておいたが、毎回ログアウトして必ず
パスワードログインすれば問題ないと思っていいのか?

165:名無しさん@十一周年
10/10/25 17:25:20 hIZf8WRG0
>>75
利用者は惜別IDが何かさえ知らないし、認証がどうなってるのかさえ知らない。

○○使えばアイフォーンでもヤマトのサービス使えるよ→じゃあ使ってみよう。
これくらいの話だね。

166:名無しさん@十一周年
10/10/25 17:28:07 hIZf8WRG0
>>81
端末IDではなく、登録したIDに登録したパスワードで認証。
パソコンでは普通にやってるじゃん?

167:名無しさん@十一周年
10/10/25 17:43:08 Biq8LPHV0
URLリンク(ja.wikipedia.org)

この辺読めば、今回の問題の意味が大体わかる

168:名無しさん@十一周年
10/10/25 17:56:09 fXNtSRpe0
パスワードを入力させるだけでも回避可能なのに。
利便性を追求するからこうなる。ローソンも、似たような事やってたよな。

169:名無しさん@十一周年
10/10/25 17:57:13 Qq8JdaMMP
昔の通販サイトとか、URLの注文番号の部分いじればいくらでも他人の注文見られるのがデフォだったしな

170:名無しさん@十一周年
10/10/25 18:09:37 CaoH61Gs0
契約者IDでの認証はかなり前から問題が指摘されてるよな。まだ使ってるのか。

171:名無しさん@十一周年
10/10/25 18:54:45 ZfPg1EU20
いろいろ気色悪い携帯は潔く捨てて、みんなでPHSを使おうよ!

172:名無しさん@十一周年
10/10/25 18:58:32 PSYeH7TR0
>>171
俺はWillcom使ってるけど、
お前を気色悪いと思う

173:名無しさん@十一周年
10/10/25 21:11:51 plh+9C6H0
ドメインと固有識別番号による認証サイトならたくさんありそうだな。
携帯からのアクセスだとcookieが使えなかったための苦肉の策だったような気が・・・
スマートフォンの時代になってアプリの制約が少なくなったことから発生したセキュリティホール
のような気がする。

androidもヤバイんじゃない?docomoは対策を取ってるんか?

174:名無しさん@十一周年
10/10/26 01:48:00 phWC/oL50
ははは

175:名無しさん@十一周年
10/10/26 02:02:29 fsNXlmwR0
ソフト販売業者も
>想定外の使われ方
って言い逃れしてるし
利用者が不正アクセス防止法違反に問われて終了?

業者に甘く、消費者に厳しい社会だから仕方ない?

176:名無しさん@十一周年
10/10/26 02:09:39 HJTSdxsW0
>>5 あったあった。

177:sage
10/10/26 02:11:50 /q6LpS4F0
よくある"かんたんログイン"って、全部相当するの?
セキュリティ対策をプラスしていれば別だと思うけど・・・

178:名無しさん@十一周年
10/10/26 02:12:41 d8LcRIvD0
>>175
winnyの作者も同じような言い逃れして捕まったろ

179:名無しさん@十一周年
10/10/26 02:17:06 u49Gxy2pO
他人のサイトにログインした香具師は逮捕な

180:名無しさん@十一周年
10/10/26 02:35:29 pcsoxNZG0
クローン携帯みたい

181:名無しさん@十一周年
10/10/26 08:24:21 1NuAke6D0
暗号化無し、しかもPCからアクセス可能w
iphone関係ないじゃんw

クロネコヤマト モバイルサイト
URLリンク(imode.kuronekoyamato.co.jp)

182:名無しさん@十一周年
10/10/26 08:25:45 ML3pCRXO0
>>127
いっぺんヤマトで荷物破損体験すれば佐川となんも変わらんことがわかるw
「新東京ベース」でググってみれば2ちゃんねるのアルバイト板スレが結構上位に来るから
読んでみそ。


183:名無しさん@十一周年
10/10/26 08:59:12 ST5xljiz0
日本固有の問題らしい

184:名無しさん@十一周年
10/10/26 09:03:04 1NuAke6D0
>>177
いわゆるキャリア外部の勝手サイトのはほとんど該当。
cookie使っているところもあるけど、携帯サイト上がりの開発者は、危険極まりないのcookieの使い方してる場合があるけどね。


185:名無しさん@十一周年
10/10/26 09:11:25 0lGbYwkQ0
とある通販業者。
ようこそ、××さん。(ご本人でない場合は、再ログインして下さい)
購入履歴とか、丸見えなんですけど…。

186:名無しさん@十一周年
10/10/26 09:29:37 xSVs6zyc0
いわゆる、ログイン不要っていうのが、問題になったみたいだね
対策として、今は、ID入力必須になってる

187:名無しさん@十一周年
10/10/26 09:32:32 zrW3Smvv0
ネタは郵政関係者か?


188:名無しさん@十一周年
10/10/26 09:42:04 ST5xljiz0
Cookieでも(2回目以降)ログイン不要にできる

189:名無しさん@十一周年
10/10/26 09:51:40 fZ52cjy+P
何度も書かれてるけど、安全な自動ログインの実装方法は既にPCで確立されてるのよ。それにガラケー脳なサーバー技術者がついていけないだけ。

190:名無しさん@十一周年
10/10/26 09:55:44 fZ52cjy+P
その実装を阻んでるのも古風なガラケーなんだけど。docomoがクッキー食える様になったのは去年だっけ?いかに足引っ張ってるか、良くわかるだろ。

191:名無しさん@十一周年
10/10/26 09:58:37 pbYsf2RV0
パソコンのブラウザで出来るの?これ。
例えば火狐のアドオンとかで携帯のブラウザのUAにして固有番号も振って…とか。


192:名無しさん@十一周年
10/10/26 10:04:31 tlpIeXfQ0
加害者(攻撃側)になれるのは、iPhone,Android,Mac,Win全て。
実際被害者になったのはiPhoneユーザーのみw

原因はUIDを固定値にしたソフト制作者と、その腐ったソフトの審査を通したApple。
被害者は、ヤマトとアップルに謝罪と賠償を請求シル!

193:名無しさん@十一周年
10/10/26 10:13:44 ST5xljiz0
なんで携帯以外からでも見られるようになってたの。
携帯かどうかを確実に判断できる方法はないけど。

194:名無しさん@十一周年
10/10/26 10:18:40 IeRaf95K0
スマートフォンとかポケットWiFiとか、
携帯なのか携帯じゃないか、よくわからないものが増えている

もう「携帯」「携帯以外」という発想自体がガラパゴス

195:名無しさん@十一周年
10/10/26 10:29:11 Kahn0SH4O
>>188
クッキーとケータイidは格納されてる場所が違うのでクッキーを使ったシステムでは漏洩とか有り得ない。
ケータイIDはキャリアが与えているコードで通信が生じたときに付与される仕組み。
それを偽装付与させ成り済ましたようにしているアプリでIDの重複利用が起きれば他人に成り済ますことだってできるよな。

196:名無しさん@十一周年
10/10/26 10:29:46 ST5xljiz0
つまり、かんたんログイン/クイックログイン自体がナンセンス

197:名無しさん@十一周年
10/10/26 10:32:02 Kahn0SH4O
>>191
キャリアに通信が発生しないと無理だろ。ケータイで接続してパソコンでネットならできるかもしれんが…ためしたことはない

198:名無しさん@十一周年
10/10/26 10:35:04 JoJG+jZu0
UA偽装とURL文字列とかで見られるってことなら
アプリケーションを批判するのはキチガイ

199:名無しさん@十一周年
10/10/26 10:37:41 AIvN8J66O
ん、これだいぶ前にCIAから警告出てたよ
アイフォンは丸見えだって

200:名無しさん@十一周年
10/10/26 11:08:27 uTynQQGQO
Cookieであろうと、携帯の個体識別番号であろうとHTTPリクエストヘッダに埋め込まれて
Webサーバに送られてくるという点は何ら変わらん。Cookieなら安全という事はない。
PCから幾らでも好きな内容を設定してWebサーバに送りつけることができるし、
それを悪用すれば「他人の成りすまし」は可能。

端末の個体識別番号でもCookieでも、成りすましを防止して安全を担保するには、セットするIDの内容を工夫するしかない。
桁数を増やして総当たり攻撃を事実上不可能にするとか、IDの生成に素性のよい(推測されにくい)疑似乱数列を使うとか。
個体識別番号の付け方は各キャリアでまちまちだけど、ドコモのiモードIDはよくないね。
成りすましを防止するには明らかに桁数が足りない。

201:名無しさん@十一周年
10/10/26 11:15:49 KlRoEyBQ0
>>200
そういうはなしではない気がする。
携帯IDは固定されていて、各サイトで使いまわされてるので
そもそも他人が入手できる。
なので、確実に該当する携帯電話から送出されているもののみログイン可能
にする必要があるけど、それを判断する手段がないという。

202:名無しさん@十一周年
10/10/26 11:25:44 WgphLPsGP
>>201
欠陥品であるiPhoneでなければ大丈夫だよ

あれは、邪悪なるアップルのみが全ての利益を吸い上げるシステムになっていて
己の不利益になる改編はできないけれど、アップル以外の全てを滅ぼすためであ
ればいかなる邪悪な行為も黙認する悪徳宗教だから

203:名無しさん@十一周年
10/10/26 11:42:01 KlRoEyBQ0
>>202
これは日本の携帯電話独自の方式の問題だからアップルの邪悪さとは関係ない。
海外や普通のパソコン向けサイトでは起こらない。

204:名無しさん@十一周年
10/10/26 11:48:17 ol6085EB0
仙石が悪い


205:名無しさん@十一周年
10/10/26 11:48:36 KlRoEyBQ0
>202
iPhoneやヤマト運輸以外でも問題は起きてた。
URLリンク(takagi-hiromitsu.jp)
URLリンク(www.tokumaru.org)

206:名無しさん@十一周年
10/10/26 11:56:57 Hx+r+N8B0
iPhoneからYahooモバゲーに書き込むとhtmlタグが吐き出されるのって、どんな現象なの?

207:名無しさん@十一周年
10/10/26 12:51:41 l/zGKoj+O
ヤマトの端末とつながってるうちの会社のパソコンも昨日から様子が変

208:名無しさん@十一周年
10/10/26 13:04:56 sBN2tGmL0
>>180
クローン携帯ってなつかしいな
むかし、
娘の携帯電話代が10万を越えていて、娘はほとんど携帯を使っていないと証言したことから
その親が「これは絶対クローン携帯の仕業だ」とドコモに支払い拒否していたが、
ある日テレビ局から「クローン携帯の可能性があるので金庫に1ヶ月保管していたらどうですか?」
と言われ、携帯を金庫の中に保管したら、翌月の請求額が基本使用料のみだった
って面白ニュースがあったな

209:名無しさん@十一周年
10/10/26 14:51:46 qcE7wWCyO
玄関の施錠方法にチェーンどころか普通の鍵すらつけず顔認証だけで開くようにしちゃったのがヤマト

しかも顔認証の精度が写真見せる程度で開いちゃう程度のもの

んで顔写真が取れるカメラの中から一つだけ(iPhone)とりあげてこいつが悪いみたいに書いてるのがこの記事


こんな感じですかね

210:名無しさん@十一周年
10/10/26 15:13:31 ZlaYrGQ30
不自然なiphone擁護が気持ち悪い

211:名無しさん@十一周年
10/10/26 15:51:59 KlRoEyBQ0
URLリンク(takagi-hiromitsu.jp)
高木先生の新しい解説

212:名無しさん@十一周年
10/10/26 18:30:18 AIvN8J66O
age

213:名無しさん@十一周年
10/10/26 18:36:43 MgR3mkB/0
あたかもiPhoneが悪いかのような書き方だな。
100%大和側の設計ミスなのに。

214:名無しさん@十一周年
10/10/26 18:53:07 AIvN8J66O
ソフトバンク工作員稼働中

215:名無しさん@十一周年
10/10/26 18:55:51 H7aa1WMK0
>>214
この件は、iPhoneは悪くないが、ソフトバンク(と他の携帯会社)とサイトが悪い。

216:名無しさん@十一周年
10/10/26 19:16:17 H7aa1WMK0
アプリは悪い?

217:名無しさん@十一周年
10/10/26 22:40:56 bPtCruk+0
マイクロソフト信者(爆笑)

218:名無しさん@十一周年
10/10/26 22:48:59 73WY7mUUP
iPhone のロック画面を迂回するバグ、履歴や連絡先、写真にアクセス可能 (動画つき)
URLリンク(japanese.engadget.com)

iPhoneいろいろダメすぎだろw



219:名無しさん@十一周年
10/10/26 23:06:55 hPG3+dDw0
>>87
Appleは大スポンサーだから、悪く書けなかったんだねw

>>211には
SBrowserが同じIDを送信する構造になっていたのが問題って、
はっきり書いてあるじゃん。

もともとサイトの閲覧テストに使うようなアプリを、普通の人がDLして
使ったのがまずいんだよ。

似たような欠陥アプリは、かなりの数あると思うな。

220:名無しさん@十一周年
10/10/26 23:15:43 1AtPwJAA0
情報テロみたいな携帯だな

221:名無しさん@十一周年
10/10/27 09:54:44 WQVerESY0
うん。ガラ携は怖くて持てない。

222:名無しさん@十一周年
10/10/27 10:14:41 pGK63ByJ0
ガラ携やiPhoneが怖いんじゃなくて、かんたんログイン、ガラ携向けクイックログインがまずい

223:名無しさん@十一周年
10/10/27 10:50:05 WR/cExENP

ガラけ~サイトって怖いな




224:名無しさん@十一周年
10/10/27 19:30:59 gWQ66sVk0
欠陥アプリによる被害はまだまだ広がりを見せそうだな。


225:名無しさん@十一周年
10/10/28 04:46:19 E1Z/hJre0
iPhone関係無いじゃんw
分からないことは記事にするべきじゃねぇよなw

226:名無しさん@十一周年
10/10/28 05:56:33 NMijI1YV0
>>225
理解した上で、こう書いてるんだと思うよ
だから余計タチが悪いとも言えるが

227:名無しさん@十一周年
10/10/28 09:44:57 bR1gp3+PP

「クロネコヤマト」の携帯サイトに脆弱
URLリンク(itpro.nikkeibp.co.jp)

>ヤマト運輸は10月25日、同社が提供する携帯電話向けWebサイト「クロネコメンバーズのWebサービス」に
>脆弱(ぜいじゃく)性が見つかったことを明らかにした。

中略

>iPhoneやこのアプリが問題なのではない。
問題があったのはあくまでもWebサイトである。
>iPhone以外のスマートフォンやパソコンからも“盗み見”は可能だった。



228:名無しさん@十一周年
10/10/28 10:57:47 Xt0PB5IT0
解決しましたってメールが来た

229:名無しさん@十一周年
10/10/28 13:14:36 cBvhCl9F0
>>228
でもPCから他人の端末ID使って入れましたって事隠してるな

230:名無しさん@十一周年
10/10/28 13:40:31 9nxPggTPP
>>229
おまえ通報されるぞ。2chは匿名じゃない。

231:名無しさん@十一周年
10/10/28 13:55:17 cBvhCl9F0
>>230
すれば?同じ事書いてる>>227の記事も忘れずにな

232:名無しさん@十一周年
10/10/28 23:58:49 ZDPw0dNs0
pho

233:名無しさん@十一周年
10/10/29 10:47:51 gnipm9ylO
※このメールは、重要なお知らせのためすべてのクロネコメンバーズの皆様へ配信しています。

いつもご利用ありがとうございます。
ヤマト運輸よりクロネコメンバーズの皆様へご報告とお詫びのご連絡です。

一部報道にもありましたが、このたび、携帯版「クロネコメンバーズのWebサービス」に脆弱性が見つかり、クロネコメンバーズの皆様にはご心配をおかけしましたことを深くお詫び申し上げます。
すでにシステムの修正は完了しておりますことをご報告いたします。

1.脆弱性の内容
携帯版「クロネコメンバーズのWebサービス」のクイックログイン機能をご利用の場合、一部のスマートフォンから特定のアプリケーションを利用し、特定の操作を行うことで、ご本人とは別の方がログインできてしまうことが判明いたしました。

2. 影響範囲
過去のデータを確認することで発生した問題の影響調査は完了いたしました。
結果、1名のお客様が、2名の方からログインされたことが確認できました。
該当のお客様については個別に対応いたしております。

3.対応方法
10月25日(月)よりクロネコIDの入力のみを省略し、パスワードは入力していただくよう修正して、クイックログイン機能を再開いたしました。

以後、このような事態を二度と発生することのないよう信頼回復に努めてまいります。
今後ともクロネコヤマトをよろしくお願いいたします。

■配信先
クロネコメンバーズにeメールアドレスをご登録いただいているすべての方へ配信しています。
(※2010年10月25日 3:00現在)
■配信元
ヤマト運輸株式会社
〒104-8125 東京都中央区銀座 2-16-10
クロネコメンバーズお問い合わせ先TEL:0120-36-9625

※本メールを許可無く引用、転載することはご遠慮ください。


最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch