「PHP x 携帯サイト デベロッパーズバイブル」に書かれている内容について、
セキュリティの点について徳丸浩様のサイトでご指摘を頂きました。
■徳丸浩の日記 - 書籍「PHP×携帯サイト デベロッパーズバイブル」の脆弱性
http://www.tokumaru.org/d/20081014.html
ご指摘の通り「PHP x 携帯サイト デベロッパーズバイブル」の7章のかんたんログインの部分で、携帯電話ではセッションIDを用いる方法と、個体識別番号を使った方法を記載しておりますが、セキュリティに関する記述に不備がありました。
7章にかいてある「かんたんログイン」に関する方法は、リクエストヘッダーなどを書き換えることにより、第三者がなりすましてログインされてしまう可能性があります。
そのため「かんたんログイン」を実装する際は、携帯キャリアゲートウェイのIPアドレスから来るアクセスのみに限定するように留意して実装してください。
ユーザーエージェントではなくIPアドレスで制限することで携帯電話本体からサイトにアクセスされていることを確認する事が出来ます。
IPアドレスからのアクセス制限の方法については、第3章に詳しく書かれておりますので、そちらをご参考にIPによる制限を実施して頂ければと思います。
携帯における「かんたんログイン」はそのままの使用ではセキュリティ上問題がありますので、対策をご理解の上ご使用くださいますようお願いします。
またセキュリティに関する件を、他にも書いてくださっているブロガーの方々にもお礼を申しあげます。
ご指摘ありがとうございます。
またこの件に関して、重要な事項であると考えたため、出版元であるソフトバンククリエイティブのサイトにも注意を促すページを直ぐに載せて頂きました。
■【訂正・補足】PHP×携帯サイト デベロッパーズバイブル
http://www.sbcr.jp/books/errata/art.asp?newsid=2271
ソフトバンククリエイティブ様のご理解と迅速なご対応にも感謝いたします。
