水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > セッション管理無しのケータイサイト

セッション管理無しのケータイサイト

2009年7月15日(水曜日)

セッション管理無しのケータイサイト

公開: 2009年7月15日18時50分頃

携帯電話向けWebアプリのセッション管理はどうなっているか (d.hatena.ne.jp)」。

PHP×携帯サイト 実践アプリケーション集 (www.amazon.co.jp)のアプリケーションが、ことごとく個体識別番号に依存した作りになっているらしいというお話。携帯電話向けサイトでは、Cookie非対応端末のために、セッションIDがURLに含まれるという作りが一般的です。が、この本ではそういうことはしないで、アクセスごとに個体識別番号を見る設計になっているのだそうで。

個体識別番号に依存した認証については、高木さんの「無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者 (takagi-hiromitsu.jp)」でも問題が指摘されていますが、ここではさらに「標準的なセキュリテイ対策手法が使用できない」ことが指摘されています。確かに、このやり方ではCSRF対策は難しいですね。

結局どうしたら良いのかというと、

一方、本書の姉妹書のような体裁のPHP×携帯サイト デベロッパーズバイブルの方は、かんたんログインによる認証結果をPHPのセッション管理機構で保持するという、定石的でまともな作りになっている。

……ということで、初回ログイン時に個体識別番号を1度だけ確認し、あとは普通にセッションを使うということですね。

PHP×携帯サイト 実践アプリケーション集

関連する話題: セキュリティ

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト