ケータイの固有情報で簡単ログインってどうやるんだろうって思って調べてみたら、なるほどHTTPヘッダに格納されて飛んでくるのかということがわかった。
http://ameblo.jp/yosswi/entry-10036647527.html

ただ、これってまずくない? だって、HTTPヘッダなんていくらでも偽装できるし、すべてのサイトに同一の固有情報をばら撒くわけで、Aサイトで傍受した結果が、Bサイトでも有効になってしまうわけよね。
調べていくと、IPアドレス縛りをすれば偽造はできないから大丈夫! って記事が出ててきてちょっとめまいがしてきた。

ケータイのことはよーわからん(PHSしかもっていないからな!!)んのだけど、本当にこれで大丈夫なの?
これを考えたアーキテクトはシラフでこんなこといっているの? アホぢゃない? いや、俺がアホなだけかもしれないけどwww

結局、ケータイでは自由にプログラムを作成できないから、この縛りで大丈夫ということなんですよね?
もし、ケータイがクラックされたりして、誰でもsocketを開けるようになってしまったら、このIPアドレス制限はあっさり崩壊すると思う。
いかにもありえそうだし、最初からプログラマブルなスマートフォンとかだとそもそも意味ないよね。

なんつーか、困ったもんだ。

なんでこんな仕様にしたんだろう?
#アーキテクトがクラックを決めていた可能性も考えないといけないのかwww

クッキーだって、ドメインによって送信するしないが設定できているわけで、どうしてすべてのサイトで同一の値をばら撒く必要があるんだろうか。
たとえば、固有情報 に ドメイン名を掛けたものを一方向ハッシュしてあげれば、それらのドメインにしか使えないキーができると思う。
だから、Aサイトで利用したものとBサイトで利用するものは別になる。
これでも、Bサイトでのセッションが恒久的なものになってしまっているという問題はあるが、すべてのサイトに同一の値をばら撒くという仕様よりはマシだと思う。

もちろん欠点もある。

私の案では、geocitiesのようなディレクトリ単位(abc.com/~rti7743/みたいな)な感じでユーザーに貸しているサービスでは、
ドメインが同一(abc.com)になってしまうので意味を成さない。

また、res.abc.com と www.abc.com のようなサブドメインでは、それぞれに別々のIDが振られてしまうので、追跡することができない。
ただ、簡単にログインをさせることが目的であればたいした問題ではない。サブドメイン間はセッションで橋渡しをすればいい。

さらにいえば、固有情報とドメイン名を掛け合わせるアルゴリズムとそれを元にハッシュを作るアルゴリズムが流出してしまったら、これまた意味を成さない。
ただ、これらのすべてが流失しなければ問題ないので可能性は低いと思うが。

あーあと、何でこうしたのか?って話でこーゆうのがあるのかね、
固有情報は、キャリアのサーバでIDを附加しているので connect するサーバのIPアドレスとパスしかわからない。ドメインがわからないのでドメインのハッシュが作れない。
でも、それって HTTPヘッダの Host: みればいいだけのような気がする。
HTTP/1.1では Hostヘッダは必須だし、Hostヘッダを利用してバーチャルドメインってやっているわけだけしね。
バーチャルドメインに対応していないブラウザってあんのかよって話になると思う。

こんな感じで、いろいろと考えると、現在のケータイの固有情報だけでユーザーを認証するのは危険だと俺は思うんだけど、どうなのよ?
もちろん、リスクがわかった上でユーザーがどうしても使いたいというなら、勝手にやりやがれでも、私は反対であったと明記してもらおうということで。

簡単ログインができればいいというのなら、パスワードリマインダなどをブラウザが備えるべきだし、
セッションだったら、Cookieに対応しろ!というわけだし、
個人を追跡したいのなら、、、、ベストチョイスですね。この仕様でも文句ありません!

最後に、ケータイもっていないんで間違っているかもしれないのでここに書いてあることは信用しないでくださいwwww
間違いがあったら、コメントでも書いてね。m9して指差して笑うだけってのは勘弁してほしい。