携帯業界の認証事情 - y-kawazの日記

巡回サイトの一つである高木浩光＠自宅の日記で以下のようなエントリーがあった。 高木浩光＠自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか ここではいつもの高木氏の口調で、「携帯向けWEBアプリ開発では未だにGETパラメータでセッションIDを渡しており、それはこれまでも何度もいかんことだと言っている。」というような内容が語られている。 確かにWEB+DBの記事に対して高木氏が注釈で言っているように「IPアドレスによる制限に関して書いていない」という点に関してはWEB+DB側の落ち度だと思う。実際これを行わない限り端末IDやユーザID*1による認証が意味をなさなくなってしまうからだ。*2 但し、キャリア毎にIPアドレス制限をする限りにおいては端末IDやユーザIDは偽装不可能*3なので、むしろ他人でも入力可能なパスワード認証よりも強力な認証かもしれません。逆にいえばその認

[sh19910711]

2007

[kuracom]

なによりIP制限が大前提の話。ゲートウェイのIPはたまに追加／廃止されるので、管理人が仕事してないと安全性を保てなくなる諸刃の剣。

[kokogiko]

現実解はともかく、一部キャリアは携帯網にPCが入り込めるし、GWでキャンセルしてくれるのは自社UIDだけだし、IP帯域情報はhttpでしか公開されてないのだから、高木さんの指摘を「間違い」というのは間違い。

[hisasann]

個体識別番号とユーザIDのセキュリティのお話

[matsukaz]

携帯の認証機能についての説明

[sigwyg]

「キャリア毎にIPアドレス制限をする限りにおいては端末IDやユーザIDは偽装不可能」

[unieye51]

y-kawazの日記 - 珍しく間違った批判をしている高木先生

[webmarksjp]

ケータイ

[komagata]

これは面倒だなー

[tohokuaiki]

携帯端末自身の改造は？→コストとの兼ね合いだろうな

[penalty]

なるほど！！納得！

[harupiyo]

携帯サイトでセッション管理が安全にできる理由

[japanrock]

uid 偽装 携帯 softbank

[ftnk]

携帯電話向けWebアプリの脆弱性事情について

[bizero]

携帯認証についてのコメント

[ymorimo]

ケータイ特有のセキュリティ事情・・・

[HISAMATSU]

携帯での認証の話

[tks_period]

タイトルどうでもいい、というより変えて欲しいなｗ　携帯での認証の方法とその背景。

[p-4]

間違ったというより自分のフィールドだけでやって誤解を呼ぶという感じ。まぁ雑誌もイロイロ事情があることを含めてこの記事でフィールドがあるべきところに戻ってユーザにとってはこちらが望むべき着地点かな。

[Seacolor]

キャリア毎にIPアドレス制限をする限りにおいては端末IDやユーザIDは偽装不可能*3なので、むしろ他人でも入力可能なパスワード認証よりも強力な認証かもしれません。逆にいえばその認証方法があるからこそ携帯業界では

[p_chopin]

とにかくIP制限。

[cubed-l]

ユーザIDはGWで付加するから偽装はできない模様。ユーザID使えるなら使った方がいいってことだな／高木氏は端末IDについてしか述べてない

[NOV1975]

べき論からいうと間違いではないと思うけど、現実はそれだと何もできないということですな。本来は現実をただすべきだけど、既存のものについてはキャリアの都合だけではもはや(コストの面で)変更不能な気がする。

[hmd703]

携帯セキュリティ関連

[hamasta]

>携帯用のセッションIDとPC向けのセッションIDは共有してはいけない | む

[youichirou]

ドコモ等の認証について

[sonosonosono]

違和感を感じていたところをわかりやすく説明している。IPアドレスはキャリアごとに公開されてますよ。

[ukidousan]

旧vodafone端末にブラウザをいじれそうな（というかいじったブラウザでWAPにアクセスできそうな）端末があったのは内緒だ（実際にやった奴は多分いないし、もう対策されてるだろ、多分）

[dlive1]

携帯のWeb閲覧での認証の話。端末IDとユーザIDは偽装できないのでこの二つを認証に使っても安全らしい。