プロジェクト

全般

プロフィール

Enhancement(機能追加・改善) #1113

完了

Add ability to publish UID each sites for authentication in mobile (サイト毎の UID を携帯電話における認証のために発行できるようにする)

Kousuke Ebihara さんが14年以上前に追加. 約13年前に更新.

ステータス:
Fixed(完了)
優先度:
Normal(通常)
担当者:
対象バージョン:
開始日:
2010-05-30
期日:
進捗率:

100%

予定工数:

説明

Overview (概要)

Add ability to publish UID each sites for authentication in mobile.

サイト毎の UID を携帯電話における認証のために発行できるようにする。

Background (背景)

Japanese mobile phones provide the unique ID belonging to a Web site visitor. All Web sites can get the same ID.

Almost the Japanese Web sites for mobile phone realize the "かんたんログイン" (easy-login) feature by using only this ID.

However, as mentioned above, that ID is not a secret information. Generally, authentication by using only public informations is not possible.

Actually, that authentication is possible by relying the following things:

  • Japanese mobile phones are low functionality, so most of them don't have ways of changing HTTP headers (that ID is in the headers) manually and using JavaScript
  • Accesses from Japanese mobile phones to Web site are usually from the gateways of a carrier

So, we make sure the REMOTE_ADDR (the user's IP address) that is IP address of the carrier's gateway, for checking the UID is trusted.

But this way is not perfect. This way and that gateway's IP addresses are unwarranted.

As just described, authentication by mobile UID is too wobbling, so we should replace to other authentication ways.

日本の携帯電話は Web サイトの訪問者に基づいたユニーク ID (OpenPNE では「携帯電話個体識別番号」と呼称、以下同じ) を発行する。すべての Web サイトで同じ ID が取得できる。

携帯電話向けの日本のほとんどの Web サイトでは、この携帯電話個体識別番号のみを使用することで「かんたんログイン」機能を実現している。

しかし、この携帯電話個体識別番号は前述のとおり秘密情報ではない。一般的に、公開情報だけでの認証は成り立たない。

実際のところ、この認証は以下の点を拠り所にすることで可能になっている:

  • 日本の携帯電話は低機能で、ほとんどの携帯電話には HTTP ヘッダを手動で変更(ID はヘッダに存在する)したり、 JavaScript を使用したりする方法が存在しない
  • 日本の携帯電話から Webb サイトへのアクセスは、通常キャリアのゲートウェイを通しておこなわれる

つまり、携帯電話個体識別番号が信頼できるものかどうかをチェックするために、 REMOTE_ADDR (ユーザの IP アドレスの値) がキャリアのゲートウェイのものかどうかを確認している。

しかしこれは完全ではない。この手法やキャリアのゲートウェイの IP アドレスは何ら保証されていない。

このように携帯電話個体識別番号による認証はとても不安定であるので、他の認証方法への置き換えをおこなうべきである。

Spec (仕様)

  • Add ability to publish UID each sites and storing this to Cookie
  • Add ability to change UID by user request

関連するチケット 1 (0件未完了1件完了)

関連している OpenPNE 3 - Bug(バグ) #2491: opToolkit::getRandom() に static キーワードが付いていないFixed(完了)Maki Takahashi2011-10-14

操作

Kousuke Ebihara さんが14年以上前に更新

  • 題名Add ability to publish UID in each sites for authentication から Add ability to publish UID in each sites for authentication in mobile に変更

Kousuke Ebihara さんが14年以上前に更新

  • ステータスAccepted(着手) から Pending Review(レビュー待ち) に変更
  • 進捗率0 から 50 に変更

更新履歴 bd6c562674e15b645165bd90b334e6fbd1d504e5 で適用されました。

Kousuke Ebihara さんが14年以上前に更新

  • 題名Add ability to publish UID in each sites for authentication in mobile から Add ability to publish UID each sites for authentication in mobile (サイト毎の UID を携帯電話における認証のために発行できるようにする) に変更

Kousuke Ebihara さんが14年以上前に更新

  • ステータスPending Review(レビュー待ち) から Pending Testing(テスト待ち) に変更
  • 進捗率50 から 70 に変更

Kousuke Ebihara さんが14年以上前に更新

  • ステータスPending Testing(テスト待ち) から Fixed(完了) に変更
  • 進捗率70 から 100 に変更

Minoru Takai さんが約13年前に更新

この修正の目的が http://www.openpne.jp/archives/5070/ 『OpenPNE 3.5.3 でおこなった「かんたんログイン」の変更について』で公開されています。また、その記事の最後にも示されていますが、この実装に至った経緯などが http://co3k.org/blog/8 に公開されています。

なお、このコメントは #2491 のレビューをきっかけとして行ったことを示しておきます。

他の形式にエクスポート: Atom PDF