gallu’s blog

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

認証周り

携帯で如何に認証をするか、って話です。


えと…「当サイトではCookieが使えない端末でのご利用は出来ません」とか書けると楽なのですが…Cookieが使えないことで有名な、DoCoMoさんとかDoCoMoさんとかDoCoMoさんとかが…やっと対応したとはいえ、まだまだ世間様にそのマシンが行き渡るにはしばらく時間がかかるでしょう。
また「簡単ログインがイイ!!」ってユーザさんも多い事を考えると…まだまだ気が抜けません。


当然ながらこの手のことに「唯一解」なんて存在しないのですが。
存在しないなりに、いくつか想定のバリエーションくらいは考えておきたいものです…ってのが、このエントリーの趣旨です。


いち:
素直にIDとパスワードを使う。
DoCoMo以外はCookieで行けますし。DoCoMoも、最新機種はいけるみたいですし(機種名Listつくらんとなぁ)。
で、DoCoMoの「滅び行く、Cookie仕様不可な駄目機種」については…PHPであれば output_add_rewrite_var とかを用いるのが、やむを得ない現実解ですかねぇ?
ただ、セッション系のアタックにもの凄く気ぃ使わなきゃいけませんが。


に:
簡単ログインでIPをちゃんと絞る。
現状一番おおいパターンですが…「戻りが必要ないアタック」だと、IPパケット偽装すりゃアタック可能なんですよねぇ orz
重要なところだけでも「糅てて加えてぱすわぁど」とか、ギミックを設置してみたいもんです。


さん:
条件付きで「user-agentあたりの情報と併用」する。
つまり、認証を「契約者固有ID + user-agent」とかにする。
んと…「総当たり攻撃」なら、これで要素数が増えるので、少しマシかなぁ、程度。決めうちに対しては全くの無力。
機種変については「機種変えたら一回メールで認証かけ直すから」とかいうギミックで対処、かなぁ。


よん:
いちとにをユーザに選ばせる。さんはお好みでトッピング可能。
便利と安全と「今夜のご注文は、ドッチ!」


もうちょっと…携帯で実際にアタックされている資料がそろうと対抗策が考えつくのですが(苦笑
とりあえず…こんな所から考察startかなぁ。


突っ込み大歓迎w