Enhancement(機能追加・改善) #1113
完了Add ability to publish UID each sites for authentication in mobile (サイト毎の UID を携帯電話における認証のために発行できるようにする)
100%
説明
Overview (概要)¶
Add ability to publish UID each sites for authentication in mobile.
サイト毎の UID を携帯電話における認証のために発行できるようにする。
Background (背景)¶
Japanese mobile phones provide the unique ID belonging to a Web site visitor. All Web sites can get the same ID.
Almost the Japanese Web sites for mobile phone realize the "かんたんログイン" (easy-login) feature by using only this ID.
However, as mentioned above, that ID is not a secret information. Generally, authentication by using only public informations is not possible.
Actually, that authentication is possible by relying the following things:
- Japanese mobile phones are low functionality, so most of them don't have ways of changing HTTP headers (that ID is in the headers) manually and using JavaScript
- Accesses from Japanese mobile phones to Web site are usually from the gateways of a carrier
So, we make sure the REMOTE_ADDR (the user's IP address) that is IP address of the carrier's gateway, for checking the UID is trusted.
But this way is not perfect. This way and that gateway's IP addresses are unwarranted.
As just described, authentication by mobile UID is too wobbling, so we should replace to other authentication ways.
日本の携帯電話は Web サイトの訪問者に基づいたユニーク ID (OpenPNE では「携帯電話個体識別番号」と呼称、以下同じ) を発行する。すべての Web サイトで同じ ID が取得できる。
携帯電話向けの日本のほとんどの Web サイトでは、この携帯電話個体識別番号のみを使用することで「かんたんログイン」機能を実現している。
しかし、この携帯電話個体識別番号は前述のとおり秘密情報ではない。一般的に、公開情報だけでの認証は成り立たない。
実際のところ、この認証は以下の点を拠り所にすることで可能になっている:
- 日本の携帯電話は低機能で、ほとんどの携帯電話には HTTP ヘッダを手動で変更(ID はヘッダに存在する)したり、 JavaScript を使用したりする方法が存在しない
- 日本の携帯電話から Webb サイトへのアクセスは、通常キャリアのゲートウェイを通しておこなわれる
つまり、携帯電話個体識別番号が信頼できるものかどうかをチェックするために、 REMOTE_ADDR (ユーザの IP アドレスの値) がキャリアのゲートウェイのものかどうかを確認している。
しかしこれは完全ではない。この手法やキャリアのゲートウェイの IP アドレスは何ら保証されていない。
このように携帯電話個体識別番号による認証はとても不安定であるので、他の認証方法への置き換えをおこなうべきである。
Spec (仕様)¶
- Add ability to publish UID each sites and storing this to Cookie
- Add ability to change UID by user request
Kousuke Ebihara さんが14年以上前に更新
- 題名 を Add ability to publish UID in each sites for authentication から Add ability to publish UID in each sites for authentication in mobile に変更
Kousuke Ebihara さんが14年以上前に更新
- ステータス を Accepted(着手) から Pending Review(レビュー待ち) に変更
- 進捗率 を 0 から 50 に変更
更新履歴 bd6c562674e15b645165bd90b334e6fbd1d504e5 で適用されました。
Kousuke Ebihara さんが14年以上前に更新
- 題名 を Add ability to publish UID in each sites for authentication in mobile から Add ability to publish UID each sites for authentication in mobile (サイト毎の UID を携帯電話における認証のために発行できるようにする) に変更
Kousuke Ebihara さんが14年以上前に更新
- ステータス を Pending Review(レビュー待ち) から Pending Testing(テスト待ち) に変更
- 進捗率 を 50 から 70 に変更
Kousuke Ebihara さんが14年以上前に更新
- ステータス を Pending Testing(テスト待ち) から Fixed(完了) に変更
- 進捗率 を 70 から 100 に変更
Minoru Takai さんが約13年前に更新
この修正の目的が http://www.openpne.jp/archives/5070/ 『OpenPNE 3.5.3 でおこなった「かんたんログイン」の変更について』で公開されています。また、その記事の最後にも示されていますが、この実装に至った経緯などが http://co3k.org/blog/8 に公開されています。
なお、このコメントは #2491 のレビューをきっかけとして行ったことを示しておきます。