gallu’s blog

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

やっぱり怖いよ orz

元ネタはこちら。
IP制限は必要悪。
http://d.hatena.ne.jp/m_norii/20081106/1225981496


うんid:m_noriiさんが言っている事はすべてtrueだと思う。
つまり

  • 本質的にはIP制限なんて無意味な「はず」なんだけど
  • いわゆる簡単ログイン(契約者識別ID)が、特にPCブラウザとかだと極めて容易に偽装出来る
  • から結果としてIP帯域を制限せざるを得ない


ただ。じゃぁ「IP制限によってとりあえずどうにかなるのか」といえば…

  • そもIP制限そのものが「キャリアが明示的に未保証である」と明記している
  • っつかその「IPを取得できるPage」がDNSポイゾニングとかであっというまにアタックNo1
  • っつかrawパケットのfrom IPを書き換うわなにをするやめくぁwせdrftgyふじこlp


わ〜いヽ( ̄ ̄∇ ̄ ̄)ノ
なんていうか…相変わらずの八方ふさがり orz


かくして。
おまんま喰わにゃならんうちらとしては…

それらを必要悪と認識した上で、それが何故必要悪なのか、本来はどうあるべきなのか、それが何故今出来ないのかを理解すること。
また、そういうリスクのあるサービスを提供してるんだ、ということを経営層にもきちんと認識してもらうこと。
そして、大本である携帯キャリアにはもっと声をあげて、しかるべき機能をきちんと実装することを訴え続けること。
・・・が、良識ある携帯技術屋としては必要かなぁ。。。と考えた次第。

というあたりに帰結するわけですね。


っつか。
とりあえず書籍とかで胸はって「IP制限がセキュリティのためには必要」とか一言で片付けるのいい加減やめようよ orz
まぁまっすぐにぶっちゃけまして。この本とかなんですがね。…ネットで無駄に風評いいだけに*1、めっさ気になります orz

PHP×携帯サイト デベロッパーズバイブル

PHP×携帯サイト デベロッパーズバイブル

注:
一応念のため。絵文字その他、いわゆる携帯サイトを作る上でのノウハウ自体は色々ときちんとまとまってる…らしい。いくつかのサイトの記述を信用するのであれば。
おいちゃん的にはいくつかのソースコードとIP制限周りの話を立ち読みで斜めに見た瞬間にぶっちゃけ買う気が失せたので詳細は不明ですが orz


追記
んと…著者のBlogとかいうのがありまして。
http://ideaup.seesaa.net/article/108141154.html

7章にかいてある「かんたんログイン」に関する方法は、リクエストヘッダーなどを書き換えることにより、第三者がなりすましてログインされてしまう可能性があります。
そのため「かんたんログイン」を実装する際は、携帯キャリアゲートウェイIPアドレスから来るアクセスのみに限定するように留意して実装してください。
ユーザーエージェントではなくIPアドレスで制限することで携帯電話本体からサイトにアクセスされていることを確認する事が出来ます。
IPアドレスからのアクセス制限の方法については、第3章に詳しく書かれておりますので、そちらをご参考にIPによる制限を実施して頂ければと思います。
携帯における「かんたんログイン」はそのままの使用ではセキュリティ上問題がありますので、対策をご理解の上ご使用くださいますようお願いします。

えと…だから「IP絞りゃいいってもんじゃなかんべ?」と思うのですが…
どうしてこう「バッドノウハウ」って速やかに広がるんですかねぇ?

*1:一部ではさんざこき下ろされてますが