がるの健忘録

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

寒すぎる携帯系Webサイトの現実

まぁとりあえず何はともあれ、高木先生の
無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
http://takagi-hiromitsu.jp/diary/20080727.html#p01
ご覧いただければ終わるっちゃぁ終わるのですが。或いはすでに終わってる現状がよく見えるのですが orz


おいといて。


とりあえず、ここでキモになる部分をざくりんこと抜き出すと。

  • どう考えても「偽装出来そうなルート」が多々ある契約者固有IDとか機種固有IDとか
  • そも「偽装なんて存在しない」と言わんばかりの -検閲削除- な開発者(きっと多分ごく一部のはづ
  • IPアドレスでチェックすれば大丈夫」って例えばIPアドレスの偽装とか。或いは「DoCoMoのIP帯域でAUなuser-agentと詐称した契約者固有IDってちゃんとはじけてますか?」とか
  • 大体キャリアの「IPアドレスはここだけだよん」は「本情報はあくまでも目安としてご参照ください」と3キャリアともコピペ状態
  • っつかその情報がhttpって時点で色々偽装できるよねぇとか
  • でも「検索用に検索エンジンのクローラ用のIP」ってこじ開けてるよねぇそこから入れない?

などなど。
平たくまとめると「限定区域だから大丈夫とか言ってるけどその限定区域になる柵がだめだめのぼろぼろの幻だから平たく言って危険に過ぎるよねぇ」というのがおおよその中心部。
そも「限定区域だから大丈夫」の限定区域がほんとうに限定であった試しなどほとんど以下略。


それもまたおいといて。


普通に冷静にまっすぐに考えて。通常のPCサイトと同じような発想で、セッションなり何なりを維持するのが一番だと思うのですが。
例えば、IDの代わりに契約者固有ID、ってのはまぁありだと思うんですよ。プラスしてパスワードがあれば。
で、当然ながらセッション維持には契約者固有IDを使わない、と。
そうするとですねぇ。当然の帰結としてセッションIDを引き回す必要があるわけなのですが。
………大変に -検閲削除- な事に。DoCoMo端末、Cookie使えません。
どうでしょういっそ「DoCoMo端末を抹消する」ってのは。いいなぁサイトのTopに「DoCoMo端末からはご利用いただけません」らいぶりぃだなぁw


まて落ちつけ。


まぁ非常に残念かつ遺憾な事に、そうも言ってられません………多分。
とはいえ。セッションIDをGETパラメタに持つなどという狂気の沙汰はまず大抵以下略です。
となると…あとは「全部formとかにしてhiddenで持ち回す」そうですこれです!!
Aエレメント一切使えなくなりますがぐっじょぶです!!


………そろそろ限界 orz


わりとマジな話として。
そうも言ってられない現実は山盛りてんこ盛りです。
とりあえず、直近としては。

  • 認証(authentication と authorization http://d.hatena.ne.jp/gallu/20080203/p1 )の処理は一箇所にまとめておく
  • とりあえず当面、苦渋の選択として「契約者固有ID」使うとして、いつでも乗り換えられるように準備しておく

ってのが、この辺でおまんま食ってる人間の真っ当な…逃げ道だと思うです。はい。


っつかね…うんこのエントリ、本気で精神負荷高いわ orz