Project

General

Profile

Enhancement(機能追加・改善) #1113

Add ability to publish UID each sites for authentication in mobile (サイト毎の UID を携帯電話における認証のために発行できるようにする)

Added by Kousuke Ebihara over 9 years ago. Updated about 8 years ago.

Status:
Fixed(完了)
Priority:
Normal(通常)
Target version:
Start date:
2010-05-30
Due date:
% Done:

100%


Description

Overview (概要)

Add ability to publish UID each sites for authentication in mobile.

サイト毎の UID を携帯電話における認証のために発行できるようにする。

Background (背景)

Japanese mobile phones provide the unique ID belonging to a Web site visitor. All Web sites can get the same ID.

Almost the Japanese Web sites for mobile phone realize the "かんたんログイン" (easy-login) feature by using only this ID.

However, as mentioned above, that ID is not a secret information. Generally, authentication by using only public informations is not possible.

Actually, that authentication is possible by relying the following things:

  • Japanese mobile phones are low functionality, so most of them don't have ways of changing HTTP headers (that ID is in the headers) manually and using JavaScript
  • Accesses from Japanese mobile phones to Web site are usually from the gateways of a carrier

So, we make sure the REMOTE_ADDR (the user's IP address) that is IP address of the carrier's gateway, for checking the UID is trusted.

But this way is not perfect. This way and that gateway's IP addresses are unwarranted.

As just described, authentication by mobile UID is too wobbling, so we should replace to other authentication ways.

日本の携帯電話は Web サイトの訪問者に基づいたユニーク ID (OpenPNE では「携帯電話個体識別番号」と呼称、以下同じ) を発行する。すべての Web サイトで同じ ID が取得できる。

携帯電話向けの日本のほとんどの Web サイトでは、この携帯電話個体識別番号のみを使用することで「かんたんログイン」機能を実現している。

しかし、この携帯電話個体識別番号は前述のとおり秘密情報ではない。一般的に、公開情報だけでの認証は成り立たない。

実際のところ、この認証は以下の点を拠り所にすることで可能になっている:

  • 日本の携帯電話は低機能で、ほとんどの携帯電話には HTTP ヘッダを手動で変更(ID はヘッダに存在する)したり、 JavaScript を使用したりする方法が存在しない
  • 日本の携帯電話から Webb サイトへのアクセスは、通常キャリアのゲートウェイを通しておこなわれる

つまり、携帯電話個体識別番号が信頼できるものかどうかをチェックするために、 REMOTE_ADDR (ユーザの IP アドレスの値) がキャリアのゲートウェイのものかどうかを確認している。

しかしこれは完全ではない。この手法やキャリアのゲートウェイの IP アドレスは何ら保証されていない。

このように携帯電話個体識別番号による認証はとても不安定であるので、他の認証方法への置き換えをおこなうべきである。

Spec (仕様)

  • Add ability to publish UID each sites and storing this to Cookie
  • Add ability to change UID by user request

Related issues

Related to OpenPNE 3 - Bug(バグ) #2491: opToolkit::getRandom() に static キーワードが付いていない Fixed(完了) 2011-10-14

Associated revisions

Revision bd6c5626 (diff)
Added by Kousuke Ebihara over 9 years ago

added ability to update mobile UID in Cookie (fixes #1113)

Revision b1bd42e9 (diff)
Added by Kousuke Ebihara over 9 years ago

added ability to publish UID in each sites for authentication in mobile (it is recorded in Cookie) (refs #1113)

History

#1 Updated by Kousuke Ebihara over 9 years ago

  • Subject changed from Add ability to publish UID in each sites for authentication to Add ability to publish UID in each sites for authentication in mobile

#2 Updated by Kousuke Ebihara over 9 years ago

  • Status changed from Accepted(着手) to Pending Review(レビュー待ち)
  • % Done changed from 0 to 50

更新履歴 bd6c562674e15b645165bd90b334e6fbd1d504e5 で適用されました。

#3 Updated by Kousuke Ebihara over 9 years ago

  • Subject changed from Add ability to publish UID in each sites for authentication in mobile to Add ability to publish UID each sites for authentication in mobile (サイト毎の UID を携帯電話における認証のために発行できるようにする)

#4 Updated by Kousuke Ebihara over 9 years ago

  • Status changed from Pending Review(レビュー待ち) to Pending Testing(テスト待ち)
  • % Done changed from 50 to 70

#5 Updated by Kousuke Ebihara over 9 years ago

  • Status changed from Pending Testing(テスト待ち) to Fixed(完了)
  • % Done changed from 70 to 100

#6 Updated by Minoru Takai about 8 years ago

この修正の目的が http://www.openpne.jp/archives/5070/ 『OpenPNE 3.5.3 でおこなった「かんたんログイン」の変更について』で公開されています。また、その記事の最後にも示されていますが、この実装に至った経緯などが http://co3k.org/blog/8 に公開されています。

なお、このコメントは #2491 のレビューをきっかけとして行ったことを示しておきます。

Also available in: Atom PDF