携帯サイトのログイン方法について セキュリティ PHP ver5


変更不可能なユーザーエイジェントを利用して携帯サイトでは かんたんログイン という認証方法をよく見ますが、http://d.hatena.ne.jp/hideden/20090801/1249142985 でもあるようにキャリアのIP帯を通ってアクセスできてしまえば非常に弱い認証方法だとおもうのです。

しかし、仕様上携帯の殆どの機種はクッキーの機能を保持しておらず、PCサイトのログイン機能を実装することはできません。(最新機種にはクッキー機能を付け加えている物もありますが、まだまだ数が少ないので、今はクッキーによるセッションの維持は無視します。)

そうなるとURLにセッションIDを付け加えるしかないのですが、このID付きのURLを掲示板に貼り付けたり、共有してしまったらそれで認証が意味をなさない物となってしまう可能性もあり得ます。

で、一般的に考えられる対策方法として session_regenerate_id(true) を利用すると思うのですが、この方法は万全でしょうか?

又、ほぼ全ての機種で認証処理が問題なく行え、尚かつ銀行サイトでも利用可能な強固な認証機能の構成を教えて下さい。(IP制限やユーザーエイジェントによる制御ではない物。)

回答の条件
  • 1人2回まで
  • 登録:2009/08/03 02:52:08
  • 終了:2009/08/09 03:15:46

回答(4件)

id:b-wind No.1

b-wind回答回数3344ベストアンサー獲得回数4402009/08/03 03:05:06

ポイント40pt

変更不可能なユーザーエイジェントを利用して携帯サイトでは かんたんログイン という認証方法をよく見ますが、

http://d.hatena.ne.jp/hideden/20090801/1249142985 でもあるようにキャリアのIP帯を通ってアクセスできてしまえば非常に弱い認証方法だとおもうのです。

おっしゃるとおり、該当の記事を見たときはさすがに参った。


そうなるとURLにセッションIDを付け加えるしかないのですが、このID付きのURLを掲示板に貼り付けたり、共有してしまったらそれで認証が意味をなさない物となってしまう可能性もあり得ます。

経路上の盗聴や、リファラーでの漏洩も含まれます。

リファラーについてはクッションページを設けることで何とかなりますが、スマートとは言い難いですね。


で、一般的に考えられる対策方法として session_regenerate_id(true) を利用すると思うのですが、この方法は万全でしょうか?

上記の理由で万全とは言い難いです。


又、ほぼ全ての機種で認証処理が問題なく行え、尚かつ銀行サイトでも利用可能な強固な認証機能の構成を教えて下さい。(IP制限やユーザーエイジェントによる制御ではない物。)

現時点で公開されている情報だけではいわゆる勝手サイトで通用する方法はありません。

手法自体は色々ありますが、いずれも携帯端末では対応していないためです。

唯一可能と思われるのは公式サイトとして登録され、かつキャリア内のネットワークにサーバーを設置し外部への漏洩を

最小限に抑えるぐらいでしょうか。

id:esecua

なるほど。

しかし、最近はFXサイトでも携帯からログインするタイプが多いですよね。

24時間持ち歩けると言う利便性とタイムリーな情報、処理を必要とする為替取引の要求が合致する携帯は打って付けの端末だとおもうのですが、やはり金銭が絡んでくる以上、セキュリティは最大の課題だと思います。

彼らFX会社はどのようにして携帯サイトでのセキュリティ対策を行っているのでしょうか?

ちなみに多くが自社サーバで、自前の回線内にサーバーを設置していると見受けます。

2009/08/03 12:25:05
id:kaerx No.2

kaerx回答回数78ベストアンサー獲得回数32009/08/03 11:23:54

以下はどうでしょう。

タグ「簡単ログイン」を含む新着エントリー - はてなブックマーク

http://b.hatena.ne.jp/t/%E7%B0%A1%E5%8D%98%E3%83%AD%E3%82%B0%E3%...

id:esecua

あの〜ばかにしてるでしょ?

はてぶのエントリーって。スパマー決定。

というか、最近多いですよね。こういう回答。

使い捨てのアカウントを作って、しょうもない回答して、でポイントを拾い集めて自分の本アカウントへ送ポイント。

本当にうざい。

yofukaciもそれっぽいし、開くつもりもない。

2009/08/03 12:07:44
id:b-wind No.3

b-wind回答回数3344ベストアンサー獲得回数4402009/08/03 13:30:54

ポイント40pt

彼らFX会社はどのようにして携帯サイトでのセキュリティ対策を行っているのでしょうか?

ちなみに多くが自社サーバで、自前の回線内にサーバーを設置していると見受けます。

関係者ではないので具体的な方法は知らない。


ただ、公式サイトレベルになるとキャリアと提携して専用線なりのセキュアなネットワークを

構築することは難しくないと想定できる。

あくまでたとえばだがVPNで接続するとかね。

この場合キャリア内のネットワークに直結しているのと同義になる。

質問者が未読の回答一覧

 回答者回答受取ベストアンサー回答時間
1 yofukaci 306 261 10 2009-08-03 04:44:46

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません