id:k27w
ポイントあり60pt回答受付終了
ウェブ制作

PHPで認証式の携帯サイトを作成しています。

クッキーが使えない機種を想定して、session.use_trans_sidを1にし、自動的にURLにセッションIDが付与されるようにしています。

この場合、セッションID入りのURLを他人にメールなどで送信した場合、なりすましが可能になってしまいます。
それを防ぐ為に、個体識別番号を取得して認証後ページで毎回確認する方法があるというのもわかりました。

auやソフトバンクの場合は簡単なのですが、docomoの場合はすべてのURLにiモードID(guid=ON)を付けるそうで、少々メンテナンス性が悪いと感じます。
かと言って、いつ変更・追加されるかわからないIPアドレスリストを認証対象にするのも後々面倒です。

そこで質問ですが、上記の私の知識以外に「こうすれば対策できる」ということがありましたら、教えて下さい。
逆に認識が間違っている点がありましたら指摘していただき、参考サイトなどを教えて下さい。

回答の条件
  • 1人2回まで
  • 登録:
  • 終了:2009/12/13 22:40:02
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

回答1件)

id:horonict No.1

回答回数257ベストアンサー獲得回数51

ポイント60pt

ドコモの場合、utn属性を付けることで製造番号を送信します。iモードIDとは別物です。

詳細は下記。

http://www.nttdocomo.co.jp/service/imode/make/content/browser/ht...

id:k27w

いや、そう言う事ではなくて・・。仮にutnの場合でも、全URLにutnを付けて毎回個体識別番号のチェックをしなければいけないのでは??どっちでも一緒の事だと思いますが。

2009/12/06 23:41:08

コメント(2件)

  • id:tdoi
    tdoi 2009/12/07 01:10:44
    正しいのは、guid=onをすべてに付けることだとは思います。
    端末の一意性を保証するのは、現状ではこれしかないと思うので。

    パフォーマンスを要求されないのであれば、DoCoMoでguid=onが入っていない場合は、guid=onをつけたURLにリダイレクトするという方法はあります。

    あとは、完全には制御できないですが、危険性を減らすとかという意味では、

    セッションの有効期限を適切に設定するとか、
    UserAgentなどを判定して、ログインした時点のものと異なったらログアウト扱いにするとか、

    なんかは考えられますが。
  • id:k27w
    k27w 2009/12/12 01:27:36
    コメントありがとうございます。私が調べた結論でも「guid=onを付けるしかない」でした。その他のご意見についても参考にさせていただきます。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません
ユーザー登録をして使いはじめる!無料
すでに登録されている方はこちらからログイン
この質問に含まれるキーワード
知りたいことを検索してみよう
▲ページトップへ