gallu’s blog

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

IP制限は本当に必要かしら?*1

流れとしては…
http://b.hatena.ne.jp/HiromitsuTakagi/
経由
http://b.hatena.ne.jp/entry/http://ke-tai.org/blog/2008/11/05/htaccessmaker/
http://ke-tai.org/blog/2008/11/05/htaccessmaker/
経由
http://www.ideaxidea.com/archives/2008/11/iphtaccessmobile_ip_htaccess_m.html
http://takashisato.cocolog-nifty.com/blog/2008/11/post-853a.html
経由
http://www.dspt.net/tools/mobile_ip/generator.php
…うわ長いw


んと…偽装とかなんとか気になるんだけど。そもそもの大前提の基本として
http://www.nttdocomo.co.jp/service/imode/make/content/ip/index.html

本情報はあくまでも目安としてご参照ください。iモードセンタ以外から本IPアドレスでのアクセスがない事を保証するものではありません。

http://www.au.kddi.com/ezfactory/tec/spec/ezsava_ip.html

本情報はEZサーバ以外のホストによる上記表のIPアドレスでのアクセスがないことを保証するものではありません。

http://creation.mb.softbank.jp/web/web_ip.html

本情報はあくまでも目安としてご参照ください。 本IPアドレス帯域以外からソフトバンク携帯電話のアクセスがない事を保証するものではありません。

ってあたりからもわかるとおり「保証しないよ」って書いてある。


で、そもそもの疑問。
IPアドレス帯域を絞る事でセキュリティを確保する」とかよく耳にする発言なのですが。そもこれは本当にtrueなんでしょうか?
結論を先に書くと「ンなこたぁない」です。「PCブラウザでアクセスされたら一発でNGになる」ような脆弱な作りなら、そう遠くなくいずれ携帯でもクラックされるであろう可能性が十分に考えられます。
結局のところ「IPアドレス帯域を絞る事でセキュリティを確保する」ってのは「脆弱な作りをしているんだけどそれを適当に糊塗したつもりになって安全であると誤認したい」ってのと同意です。


…面倒なんでとりあえず詳細は後日に回しますが。
入ってくるあらゆる情報は「偽装されうる」ことを前提にする、ってのはWebアプリケーション(…おいちゃん的にはやっぱり CGI 言いたいなぁ)作る上で基本中の基本です。
そこに携帯もPCもありゃしません。
その基本をとっぱずして考えるのであれば、いつかクラックされて痛い目にあうのです。


…っていう単純な話だと思うんだけどなぁ。どうなんでしょ?