携帯電話向けWebアプリのセッション管理はどうなっているか - ockeghem's blog

最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも「セッション」や「session」という語は出てこない。サンプルプログラムのCD-ROM上で session を検索しても出てこないので、セッションはどこでも使っていないのだろう。 そうは言っても、本書にはブログやSNSなど認証が必要なアプリケーションも登場する。本書で採用している認証方式はこうだ。 携帯電話の個体識別番号を用いた、いわゆる「かんたんログイン」のみを使う 認証状態をセッション管理機構で維持しない。全てのページで毎回認証する そのため、「iモードID」など、ユーザに確認せずに自動的に送信されるIDを用いる つまり、全て

[ockeghem]

/id:nihen いや、セッション管理してないですよ～ 私も元々は違和感からスタートしたわけで

[kamip]

セッション管理

[yokada3]

自戒もこめて

[harusoft]

自戒もこめて

[gorn]

【引用：のような、『「セッションID」という概念を知らない』技術者、『契約者固有IDがないとWebアプリを作れない』技術者を量産するような内容になっているのだ。】

[blueribbon]

『「セッションID」という概念を知らない』技術者、『契約者固有IDがないとWebアプリを作れない』技術者を量産するような内容になっている

[gothedistance]

チェックリストとして読み返したい。

[HeavyFeather]

参考になる

[KoshianX]

誰かまともな発注先を見分ける質問リストとか作ったらどうだろうか

[hasegawayosuke]

「ただ、あなたはモバイルの常識を知らない。」

[ken39arg]

携帯サイトをちゃんと作ったことないのかな？

[sigwyg]

携帯向けセキュリティ対策

[itochan]

まあケータイだから大丈夫的なｗ

[cubed-l]

囲い込みの弊害なんじゃないの、Docomoさん

[oooooooo]

いろいろな本が blog なりでセキュリティが指摘され続けている / いい加減、作者や出版元は他山の石にせず、過去の指摘のチェックリストでも用意してから執筆するべき

[matobat]

10年前にOASで基本認証のユーザ名使ってセッション管理してたのを思い出すな。

[mumincacao]

どこもが Cookie を実装してなかったり独自実装の宝庫でそれなりの規模のふれ～むわ～くでもなければきゃりあ依存を吸収するのが大変すぎるけど・・・固有 ID 使うなら IP 帯域の確認は必須かなぁ？（´・ω・｀；【みかん

[mattarin]

よいまとめ

[rawwell]

"元々セッション管理をしていないのだから、一般的なCSRF対策に用いられるトークン類を覚えておく場所がない。docomoの場合、Refererが送出されない端末が大多数なのでRefererをチェックするわけにも行かない。だからといっ

[ginmatsu]

実践版書籍になるとグダグダになる良くあるパターン。

[tohokuaiki]

PHPのセッション管理は、DISられるコトの多いPHPにしてはよくできてる。この辺はさすがにWeb専用言語の矜持か。

[thesecret3]

IP帯域リストをXMLでキャリアが公式に提供してくれないかな。

[oui27]

php

[koumiya]

俺も最初驚いたが、モバイル開発の現場では個体識別IDベースのログイン管理が定石なんじゃ？

[kkeisuke]

携帯

[hiro_y]

PHPのセッション機構を使わないとかアホか。CSRF対策はきちんとしよう。

[inouetakuya]

『「セッションID」という概念を知らない』技術者、『契約者固有IDがないとWebアプリを作れない』技術者を量産するような内容になっているのだ。

[kuteken]

ケータイ開発者の落とし穴。

[ardarim]

id:nihenさん 基本的に変更されることも無い、しかも常時垂れ流されてる個体識別番号をセッションIDにできるわけが無いというのは少し考えればわかると思います。開始も終了も無いものをセッションと呼べますか？

[Kmusiclife]

session idを知らない世代。

[abetomotomo]

セッション管理