水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > QRコード

QRコード

2005年4月15日(金曜日)

QRコード

更新: 2005年4月15日

JVN#9ADCBB12 携帯電話端末における特定 QR コードを使用したサイト接続時の問題 (jvn.jp)」というものが公開されていますね。「バーコード (2次元コード) リーダーご利用にあたっての注意点 (www.au.kddi.com)」を見ると URL が 2行出るようですが、それって本来の動作なのでしょうか。QR コードが読める携帯端末なんて使ったことがないもので……。

根拠は全くありませんが、QR コードの URL を表示する画面に XSS があって、URL に "> などを含ませるとこういうことが起きたりするのかな、と想像しました。

※2005-04-15追記: 高木さんの解説が bugtraq-jp に投稿されています : 「au携帯電話のバーコードリーダでジャンプ先URLが偽装される (www.securityfocus.com)」。DoCoMo 用のブックマーク登録機能に中途半端に (?) 対応していたのが原因で、"MEBKM:TITLE:http://www.au.kddi.com/;URL:http://i.nttdocomo.co.jp/;;" などという文字列を喰うと TITLE:http://www.au.kddi.com/ がタイトルとして表示されつつ URL:http://i.nttdocomo.co.jp/ にリンクしたようです。修正版は DoCoMo 用のブックマーク登録機能に対応しなくなった模様。QRコードの仕様とか勉強しないとなぁ……。

関連する話題: セキュリティ / 携帯電話

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト