NULLGWDOCOMOとは?/ プロミス
[ 312] 携帯業界の認証事情 - y-kawazの日記
[引用サイト] http://d.hatena.ne.jp/y-kawaz/20070224
|
ここではいつもの高木氏の口調で、「携帯向けWEBアプリ開発では未だにGETパラメータでセッションIDを渡しており、それはこれまでも何度もいかんことだと言っている。」というような内容が語られている。 但し、キャリア毎にIPアドレス制限をする限りにおいては端末IDやユーザIDは偽装不可能*3なので、むしろ他人でも入力可能なパスワード認証よりも強力な認証かもしれません。逆にいえばその認証方法があるからこそ携帯業界ではクッキー無しでのセッション管理が可能になっていると言えます。 そもそも、「ID/パスワードを毎回入力するのでは携帯の場合では特に面倒です」などといって、端末IDをパスワード代わりにしてはいけない。端末IDは他のサイトにも同じものが送信されるのだから、パスワード代わりになどならない。 同じ値の端末IDが他のサイトにも送られたからと言っても、そのIDを他人が騙ることはできないのだから問題ないはずです。パスワード認証におけるパスワードの代わりにはなりませんが、パスワード認証に代わる認証になります。 携帯キャリア毎のIP制限を行っている限りにおいては携帯端末でアクセスしていることが保障されるはずなので端末IDは十分信頼がおけると言えます。 uidの偽装不能な理由は口で説明するのも良いですが以下のような簡単な実証スクリプトにアクセスした結果を見た方が分かりやすいと思います。 ゲートウェイのIPアドレス一覧情報など一般に公開されていないように思われる…。せめてIPアドレス一覧は公開してほしい。公開されてるようだ。 *9:元々のタイトルは「珍しく間違った批判をしている高木先生」だったが単に情報まとめ的な意味が強い記事になってきたので。 2007/02/27 22:28 y-kawazさんの文章全体で気になる点が一点あります。携帯電話は必ず同一人物が使用すると仮定していませんか?”パスワード認証の代わりの認証になります。”と書いておられますが、端末を勝手に使われた場合全部見れちゃうわけですよね。データを他のサーバに置いているのに全てのデータが。これはデータを外部に保管する意味が薄れるような。PCでいったら、起動時のパスワードやらHDパスワードがかかっていない状態と考えます。問題ないとは思えないのですがいかがでしょう? 2007/02/28 08:43 ID認証に関しては、携帯電話は必ず同一人物が使用することを前提に話しています。つまり「ID認証=携帯電話端末という物理鍵による認証」と同等という意識が必要だと考えています。「端末を勝手に使われたら全部見れてしまいます」というのは当然のことで、それは自宅の鍵は気軽に人に渡さずにキチンと管理しましょうというのと同じことです。なのでユーザとしては携帯サイトにおいては携帯端末が鍵と等しい意味を持つというよう啓蒙される必要があるのかもしれないですね。 2007/03/02 01:27 勉強になります。一つ疑問なのは、このユーザID送信機能はハードレベルでの組み込みなのでしょうか。(そもそも携帯アプリの運用について無知なのですが、)将来的に勝手ブラウザなどが配布され、そこでHTTPヘッダに関してルーズなアプリが出回ると上記に関してまったく無効になると思うのですが、これは運用や端末の仕組み的にあり得ないことなのでしょうか。 2007/03/02 03:12 以下は僕の憶測であり実際のところは知りません。ユーザIDに関しては各キャリアのゲートウェイが行うもので、その正統性の保証も各キャリアが各種対策を施し続けて維持するモノだと思っています。ただ端末IDに関してはゲートウェイでは無く端末側が自主的に(各キャリアの通信仕様に則って)送信しているんじゃないかと思われるので今後海外製の端末やルーズなアプリが出回ることで詐称出来てしまう(キャリア側で制御しきれなくなってくる)んじゃないかなと思っています。なのでユーザIDは信頼して良く、端末IDは疑ってかかった方が良いのかな、というのが個人的な見解です。 |
プロミスのサイトです。
