gallu’s blog

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

Cookie もんすたぁ orz

携帯のCookie周りをちょいと調べてみたです。
…なんていうかドタマが痛いです orz
以下、気力もなく列挙。


・Secure Cookie非対応があるくさい
・一時Cookie(「ブラウザが閉じられるまで有効」ってやつ)非対応があるくさい(まぁ基本あんまり好ましいと思っちゃいないが


auで、ある程度の共有は可能そうだが…「参照できない」「変更と破棄ができない」などが色々あり、事実上きっついっぽ orz
http://kokogiko.net/m/archives/002179.html

  • http領域で作られたsecure属性のないCookieは、httpsに移ると参照できない。
  • https領域で作られたsecure属性のないCookieは、httpに移ると参照はできるが、変更・破棄ができない。
  • さらに、https領域で作られたCookieがhttp接続中に有効期限が切れると、http側で再発行されるため、httpsで参照できなくなる
  • なので事実上auでもhttpとhttps間でまともにはCookie共有できないに等しい

AUでは「Set-Cookieフィールドのmax age(有効残存秒数)で指定」のみ。Expireヘッダが通用しない(ので、PHPでの設定がでけない。まぁ素敵。header関数使って自力でcookieをセットしませう)


SoftBankはhttpとhttps間で一切のCookieが共有できないらしい orz
こんな話も。
http://d.hatena.ne.jp/m_norii/20080806/1218032059

ただし、別の理由で、SSL・非SSLはまたげません。。。
これはSoftBankSSL仕様に起因するんですが、
SoftBank端末でSSLドメインにアクセスすると、単にhttpsになるのではなく、
SoftBankの中間ゲートウェイを介してSSL接続することになります。
例えば、https://example.com/index.html へのリンクは
https://secure.softbank.ne.jp/example.com/index.html
となります*4。
従って、ドメインが変わってしまうので、Cookie引き継げないんです。。。

・「SoftBankの携帯ブラウザは、自発的にCookieは送出しません。サーバからのレスポンスヘッダ Set-Cookie を受け取ると、次のリクエストからCookieを送出します」


ふむぅり…思った以上に「つかえねぇガラパゴス」orz
「携帯のセキュリティ関連を再考察」とかってネタで書こうかと思ったですが………挫折 orz