携帯コンテンツを作成するにあたって、セッション管理をするために何をセッションIDとするか。クッキーを利用できない端末でユーザーにデータを保持させることができないという壁があるため、リクエストパラメーターにセッションIDを埋め込む、もしくは携帯端末特有の端末IDをセッション代わりに利用するという2つの方法がある。

セッションIDをリクエストパラメーターに含めてしまうと、ブックマークしたURLを他人に渡してしまうことで、簡単に他人になりすますことができる。セッションIDに何かしら意味を持たせる、もしくはセッションコンテナーにUSER_AGENTなどの情報を入れて付き合わせる、などの方法である程度は、なりすましが防げるが全く完璧な方法ではない。

そこで、携帯端末のIDを利用する方法がよく使われる。

DoCoMo(非公式サイト) utnをformタグに書くことにより、USER_AGENTから端末IDの取得が可能。

DoCoMo(公式サイト) リクエストパラメータにuid=12バイト文字列(NULLGWDOCOMOなど)を与えることでDoCoMoのGWで端末固有のidに変換してくれる。

AU リクエストヘッダ x-up-subno

SoftBank リクエストヘッダ x-jphone-uid

サーバーに携帯GWからのIP制限をすることにより、DoCoMo公式サイトによる方法の場合、偽装することは不可能。

しかしAUとSoftBankのような、リクエストヘッダ形式を利用する場合は、サーバー側で偽装に気づくことは難しい。
携帯GWからのIP制限をすれば、現状のモバイルフォンブラウザにヘッダを書き換えるような機能がない(はず)ため、偽装することは不可能となっている。

しかししかし!こんなキャリアに思いっきり依存する、あやうい実装でいいのか!今どき端末でJavaも動くし、これからGoogleのAndroidのようなオープンな環境が携帯端末に実装されれば、いろんなブラウザが入る可能性がこれから見えているのである。

どうする、どうする。

いや、答えは簡単。
早くクッキーを使えるようにしろ!
というだけ。PCと同じ環境ですよ。アフィリエイト業界も喜ぶでしょう。

端末IDについていろいろ調べていると、
携帯業界の認証事情 Part2

携帯で端末ID詐称は可能かもしれない話CommentsAdd Star
で言及されてました。

ついでにDoCoMoは、「Refererを早く開放しろ!!

関連する記事

blogranking←ぽちっとな

<<
>>