OpenPNEアップデート

phpで書かれた、オープンソースのmixiライクなSNSであるOpenPNEで、日本の携帯端末（いわゆるガラケー）から端末固有IDを利用してログインさせる「かんたんログイン」機能に脆弱性があることが昨日指摘されていましたが、さっそくアップデートが出ています。

【緊急リリース】携帯版かんたんログインの不備によりなりすましがおこなわれてしまう問題について｜OpenPNE
http://www.openpne.jp/archives/4612/

携帯端末から送出される端末固有IDは、しょせんhttp headerに載せる情報にすぎないので、そのID文字列を知っていれば偽装は比較的容易です。
ただ、本物の端末固有IDは、携帯キャリア各社のインターネット中継ゲートウェイのsource ip addressからしか送出されないはずです。かつ、携帯キャリアのインターネット中継ゲートウェイからくるアクセスには、http headerを偽装できるようなクライアントからのアクセスは含まれていないはずでした。昔は。
でも近年はソフトバンクのスマートフォン（iPhoneではなく）など、いろいろできちゃうクライアントも実はあったりしますから、こういった神話も徐々に崩れつつあります。

で、今回の問題は、その携帯キャリアからのアクセスかどうかを判定するところが甘かったということです。

さらに、携帯キャリアからのアクセスかどうかの判定は、キャリアのsource ip addressのリストを持って、かつこのリストをしっかり保守していないとなりませんから、ここを崩さずに運用するのはコストがちょっと高いですね。
また、携帯キャリア各社は、source ip addressのリストを、httpsなど信頼できる方法で提供していないじゃないか、というのもひろみちゅ先生が以前から指摘しているところです。