変更不可能なユーザーエイジェントを利用して携帯サイトでは かんたんログイン という認証方法をよく見ますが、http://d.hatena.ne.jp/hideden/20090801/1249142985 でもあるようにキャリアのIP帯を通ってアクセスできてしまえば非常に弱い認証方法だとおもうのです。
しかし、仕様上携帯の殆どの機種はクッキーの機能を保持しておらず、PCサイトのログイン機能を実装することはできません。(最新機種にはクッキー機能を付け加えている物もありますが、まだまだ数が少ないので、今はクッキーによるセッションの維持は無視します。)
そうなるとURLにセッションIDを付け加えるしかないのですが、このID付きのURLを掲示板に貼り付けたり、共有してしまったらそれで認証が意味をなさない物となってしまう可能性もあり得ます。
で、一般的に考えられる対策方法として session_regenerate_id(true) を利用すると思うのですが、この方法は万全でしょうか?
又、ほぼ全ての機種で認証処理が問題なく行え、尚かつ銀行サイトでも利用可能な強固な認証機能の構成を教えて下さい。(IP制限やユーザーエイジェントによる制御ではない物。)
変更不可能なユーザーエイジェントを利用して携帯サイトでは かんたんログイン という認証方法をよく見ますが、
http://d.hatena.ne.jp/hideden/20090801/1249142985 でもあるようにキャリアのIP帯を通ってアクセスできてしまえば非常に弱い認証方法だとおもうのです。
おっしゃるとおり、該当の記事を見たときはさすがに参った。
そうなるとURLにセッションIDを付け加えるしかないのですが、このID付きのURLを掲示板に貼り付けたり、共有してしまったらそれで認証が意味をなさない物となってしまう可能性もあり得ます。
経路上の盗聴や、リファラーでの漏洩も含まれます。
リファラーについてはクッションページを設けることで何とかなりますが、スマートとは言い難いですね。
で、一般的に考えられる対策方法として session_regenerate_id(true) を利用すると思うのですが、この方法は万全でしょうか?
上記の理由で万全とは言い難いです。
又、ほぼ全ての機種で認証処理が問題なく行え、尚かつ銀行サイトでも利用可能な強固な認証機能の構成を教えて下さい。(IP制限やユーザーエイジェントによる制御ではない物。)
現時点で公開されている情報だけではいわゆる勝手サイトで通用する方法はありません。
手法自体は色々ありますが、いずれも携帯端末では対応していないためです。
唯一可能と思われるのは公式サイトとして登録され、かつキャリア内のネットワークにサーバーを設置し外部への漏洩を
最小限に抑えるぐらいでしょうか。
以下はどうでしょう。
タグ「簡単ログイン」を含む新着エントリー - はてなブックマーク
http://b.hatena.ne.jp/t/%E7%B0%A1%E5%8D%98%E3%83%AD%E3%82%B0%E3%...
あの〜ばかにしてるでしょ?
はてぶのエントリーって。スパマー決定。
というか、最近多いですよね。こういう回答。
使い捨てのアカウントを作って、しょうもない回答して、でポイントを拾い集めて自分の本アカウントへ送ポイント。
本当にうざい。
yofukaciもそれっぽいし、開くつもりもない。
彼らFX会社はどのようにして携帯サイトでのセキュリティ対策を行っているのでしょうか?
ちなみに多くが自社サーバで、自前の回線内にサーバーを設置していると見受けます。
関係者ではないので具体的な方法は知らない。
ただ、公式サイトレベルになるとキャリアと提携して専用線なりのセキュアなネットワークを
構築することは難しくないと想定できる。
あくまでたとえばだがVPNで接続するとかね。
この場合キャリア内のネットワークに直結しているのと同義になる。
回答者 | 回答 | 受取 | ベストアンサー | 回答時間 | |
---|---|---|---|---|---|
1 | yofukaci | 306回 | 261回 | 10回 | 2009-08-03 04:44:46 |
なるほど。
しかし、最近はFXサイトでも携帯からログインするタイプが多いですよね。
24時間持ち歩けると言う利便性とタイムリーな情報、処理を必要とする為替取引の要求が合致する携帯は打って付けの端末だとおもうのですが、やはり金銭が絡んでくる以上、セキュリティは最大の課題だと思います。
彼らFX会社はどのようにして携帯サイトでのセキュリティ対策を行っているのでしょうか?
ちなみに多くが自社サーバで、自前の回線内にサーバーを設置していると見受けます。