2009年7月15日(水曜日)

セッション管理無しのケータイサイト

公開: 2009年7月15日18時50分頃

「携帯電話向けWebアプリのセッション管理はどうなっているか (d.hatena.ne.jp)」。

PHP×携帯サイト実践アプリケーション集 (www.amazon.co.jp)のアプリケーションが、ことごとく個体識別番号に依存した作りになっているらしいというお話。携帯電話向けサイトでは、Cookie非対応端末のために、セッションIDがURLに含まれるという作りが一般的です。が、この本ではそういうことはしないで、アクセスごとに個体識別番号を見る設計になっているのだそうで。

個体識別番号に依存した認証については、高木さんの「無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者 (takagi-hiromitsu.jp)」でも問題が指摘されていますが、ここではさらに「標準的なセキュリテイ対策手法が使用できない」ことが指摘されています。確かに、このやり方ではCSRF対策は難しいですね。

結局どうしたら良いのかというと、

一方、本書の姉妹書のような体裁のPHP×携帯サイトデベロッパーズバイブルの方は、かんたんログインによる認証結果をPHPのセッション管理機構で保持するという、定石的でまともな作りになっている。

……ということで、初回ログイン時に個体識別番号を1度だけ確認し、あとは普通にセッションを使うということですね。

「セッション管理無しのケータイサイト」へのコメント (1件)