- - PR -
携帯サイトにおけるセキュリティについて
1
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-11-11 16:08
携帯サイトを作成するにあたって、
セキュリティ対策をどうすればよいか困っています。 (携帯アプリではなく、携帯むけのWEBサイトです) ヴォーダフォンだと、「GET」しか使用できない? (jsky時代まで?) と言う話もどこかの本に書いてありました。 そうすると、セッションIDなども さらに、JavaScriptが使えないから、リンクなども同様ですよね。 なにか解決策があれば教えてください。 よろしくお願いいたします。 | ||||||||
|
投稿日時: 2005-11-11 16:33
こんにちは。
セキュリティに関する部分のみ記載するならば、 ・各キャリアのプロクシからしか接続を受け付けないようにする。 ・入力値チェックは普通に行う。 ・SQLインジェクションとかのインジェクション系対策も普通に行う。 ・Cookieは使えない機種があるので、使わない。(Cookieがないので、XSSは問題なし。) ・セッションIDはGETパラメータで引き継ぐ。 ・念のためログイン後にセッションIDを書き換える。 みたいな感じでよいかと思います。 | ||||||||
|
投稿日時: 2005-11-11 17:03
こんにちは。
自分はやったことないけど、UIDや固体識別番号がとれる機種のみ対象なら、 セッション使わなくてもかなりセキュリティ高くできるんじゃないでしょうか? もちろん各キャリアのプロクシからしか接続できないようにして、 偽装されないようにしないといけないけど。 ...実際はそこまで対象機種を割り切れないですけどね。 用途によっては、それもアリかと。 | ||||||||
|
投稿日時: 2005-11-14 10:04
最近のフルブラウザの仕様はわからないのですが、携帯端末はmasaさんのおっしゃっているキャリアのプロキシ規制、あらさんの固体識別情報を使うことによりユーザセッションと言う点についてはセキュリティは強化できると思います。
ただ、キャリアのプロキシで問題があるのはLモードってIPアドレス公開していないんですよねぇ。問い合わせても公式サイトにしか教えないって言われました。 あとmasaさんがXSSは問題なしと書いておられますが、これはセッションハイジャックに限った問題ですのでXSS対策はやはり行うべきです。例えば携帯サイトの場合htmlソースを見ることができないのですがXSSにより見ることができるようになってしまいます。(htmlソースを隠すことによりセキュリティを強化する考え方もいかがなことかとは思いますが。。。) また、パスワード認証させる場合には携帯では*を使うと英字の操作性が悪くなってしまうので、数字のみにするとか、入力文字を表示させなければならなくなるなど注意が必要でしょうか。 [ メッセージ編集済み 編集者: にん2 編集日時 2005-11-14 10:07 ] | ||||||||
|
投稿日時: 2005-11-14 10:20
こんにちは。
恥ずかしながらLモードの存在自体を知らなかったのですが、携帯専用サービスをLモードとやらに公開する必要があるとしたら、今までのプロキシ規制ではない新しいセキュリティモデルが必要になりますね。これは大きな問題に発展しそうな気がします。
確かにXSS以外にも、HP改ざんの可能性を考慮しなければならないですね。こちらも 恥ずかしながら失念していました。 | ||||||||
|
投稿日時: 2005-11-14 13:42
皆さん回答ありがとうございます。
参考にさせていただきます。 |
1