blueday
- いいね数 3,007/2,786
- フォロー 352 フォロワー 134 ツイート 112,439
- 現在地 九州某県
- Web https://www.kbstyle.net/
- 自己紹介 どこにでもゐるごく普通の社会不適合者改めレイシスト(だつたらしい→https://archive.is/bgIEc)。 https://mstdn.jp/@blueday https://misskey.backspace.fm/@blueday https://mstdn.blueday.blue/@blueday
2011年12月24日(土)
Hiromitsu Takagi @HiromitsuTakagi
というわけで、今回の事故はメールだけではなく、あらゆるspモード関係機能に及んだ可能性あり。記事 t.co/NjBa6off でも、「一時停止した21項目のspモードサービスはIPアドレスを使っているので…実際に何が起きたかを確認しているところ」と言われている。
タグ:
posted at 06:57:27
Hiromitsu Takagi @HiromitsuTakagi
⑩その暁には、何らかのアプリが⑦のセッションIDを取得してWebブラウザに引き回して t.co/m33JKWZL にパラメタ付きでアクセスするようになるはず。(よって、その画面はインターネットから見えていて何ら問題ない。)
タグ:
posted at 06:51:25
Hiromitsu Takagi @HiromitsuTakagi
⑨スマホから使う t.co/m33JKWZL はインターネットから接続できないようにされている。このことがカスであることの証と言ってよい。これが解消されたらば(つまり、Webの隠し画面など存在しなくなったとき)、抜本的な問題解決が図られたと見てよいだろう。
タグ:
posted at 06:46:55
Hiromitsu Takagi @HiromitsuTakagi
⑧auのスマホはそれ(⑦のこと)っぽいことをやっている感じに見える。(未確認)(「au one-ID設定」のとき)
⑨結局、「一般にシングルサインオンの実現方式は、ID連携方式かリバースプロキシ方式」と言われるように、どっちかしかないところ、spモードはどっちでもない斬新方式。
タグ:
posted at 06:42:00
Hiromitsu Takagi @HiromitsuTakagi
⑦正しい設計はこう。「パケット交換機」上で接続のIMSIが確認された際にセッションIDを発行して端末側アプリに(何らかのプロトコルで)返す機能を用意。アプリはそのIDをHTTPSなどアプリレイヤでend-to-endの通信に載せてサーバに送信。サーバはIDからユーザ識別子を得る。
タグ:
posted at 06:30:07
Hiromitsu Takagi @HiromitsuTakagi
⑥spモードはスジが悪い。目的がアプリレイヤでのend-to-endの認証済み識別であるはずなのに、下のレイヤの中継地点で認証と識別の提供をしようとしている。(もし「パケット交換機」でHTTPSを解くなら一般的なリバースプロキシと同様で変ではない。⑤のヘッダ挿入もそれに類する。)
タグ:
posted at 06:24:52
Hiromitsu Takagi @HiromitsuTakagi
⑤iモードでは、「パケット交換機」がHTTPストリームを再構成する際にその場で直接、(IMSI等で識別しているユーザに対応する)ユーザ識別子(uid又はiモードID)を埋め込んで、他のサーバにHTTPで送信することができた。(そのためHTTPSでは使えなかったのだが。)
タグ:
posted at 06:10:43
Hiromitsu Takagi @HiromitsuTakagi
④ユーザ識別はこの図 t.co/m8MHkG0C の「パケット交換機」で電話網の信号からIPパケットが再構成される際にはIMSIか何かで可能となるが、それを他のサーバに伝えたくともIPパケットに載せる手段はない。よって、IPアドレスの登録と参照を使うことになったと。
タグ:
posted at 06:05:43
Hiromitsu Takagi @HiromitsuTakagi
②HTTPSなのでGWでヘッダに何か挿入することはできないし、ブラウザが端末識別番号を送信しているとは考えにくい。③そうすると、この時点で既に、Webサーバでユーザ識別する手段は、IPアドレスを用いるしかないのではないか。
タグ:
posted at 05:23:39
Hiromitsu Takagi @HiromitsuTakagi
spモードを試した。以下、初期所見。①設定のために t.co/m33JKWZL に行くことになるが、この時点で既にユーザ識別されている。URLパラメタもPOSTデータもなく直にアクセスしても、cookieをクリアしOFFに設定していても識別される。
タグ:
posted at 05:23:09
福井健策弁護士ロングインタビュー:「スキャン代行」はなぜいけない? (1/3) - 電子書籍情報が満載! eBook USER t.co/Jo22XyOZ
タグ:
posted at 04:49:15