PHPで認証式の携帯サイトを作成しています。

クッキーが使えない機種を想定して、session.use_trans_sidを1にし、自動的にURLにセッションIDが付与されるようにしています。

この場合、セッションID入りのURLを他人にメールなどで送信した場合、なりすましが可能になってしまいます。
それを防ぐ為に、個体識別番号を取得して認証後ページで毎回確認する方法があるというのもわかりました。

auやソフトバンクの場合は簡単なのですが、docomoの場合はすべてのURLにiモードID(guid=ON)を付けるそうで、少々メンテナンス性が悪いと感じます。
かと言って、いつ変更・追加されるかわからないIPアドレスリストを認証対象にするのも後々面倒です。

そこで質問ですが、上記の私の知識以外に「こうすれば対策できる」ということがありましたら、教えて下さい。
逆に認識が間違っている点がありましたら指摘していただき、参考サイトなどを教えて下さい。

回答の条件
  • 1人2回まで
  • 登録:2009/12/06 22:39:24
  • 終了:2009/12/13 22:40:02

回答(1件)

id:horonict No.1

horonict回答回数257ベストアンサー獲得回数512009/12/06 23:16:34

ポイント60pt

ドコモの場合、utn属性を付けることで製造番号を送信します。iモードIDとは別物です。

詳細は下記。

http://www.nttdocomo.co.jp/service/imode/make/content/browser/ht...

id:k27w

いや、そう言う事ではなくて・・。仮にutnの場合でも、全URLにutnを付けて毎回個体識別番号のチェックをしなければいけないのでは??どっちでも一緒の事だと思いますが。

2009/12/06 23:41:08
  • id:tdoi
    正しいのは、guid=onをすべてに付けることだとは思います。
    端末の一意性を保証するのは、現状ではこれしかないと思うので。

    パフォーマンスを要求されないのであれば、DoCoMoでguid=onが入っていない場合は、guid=onをつけたURLにリダイレクトするという方法はあります。

    あとは、完全には制御できないですが、危険性を減らすとかという意味では、

    セッションの有効期限を適切に設定するとか、
    UserAgentなどを判定して、ログインした時点のものと異なったらログアウト扱いにするとか、

    なんかは考えられますが。
  • id:k27w
    コメントありがとうございます。私が調べた結論でも「guid=onを付けるしかない」でした。その他のご意見についても参考にさせていただきます。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません