セキュリティ話をきっかけに、過去の開発を振り返る
だが、どうもケータイWebのサイト運営者たちは、どういう遠慮があるのか知らないが、キャリア様には何ひとつ要求できないらしい。「IPアドレス帯域」の表はHTMLで提供されているわけで、これがXMLでデータ化されるなり、Web APIで提供されるようになれば、業界は皆ハッピーに違いないが、それが実現されていない。WASForumでも愚痴が漏れていたが、小さな声で愚痴をこぼす程度で、誰もキャリア様を批判したりはしない。
こんな状況で事故が起きたら、キャリアに損害賠償請求したらいいと思う。https:// で提供するのが当然なのに、それを怠っていたのが原因と主張することはできるだろう。
高木先生のブログのケータイ関連のエントリが話題沸騰中だけど、モバイル開発の中の人の端くれの立場で、今までどうやってたんだっけ?と振り返ってみることにした。
(今更になって)端末に付加されているユニークなIDにわーわー騒いでいる人が多いのですが、実際どのように使われていたのか、元携帯勝手サイト運営者が書いてみます。
元携帯勝手サイト運営者が、実際に使っていた端末IDの使い方とかばらしちゃうよ! - m-birdとFreeBSDの同棲日記
id:m-bird氏はCPの中の人のようだけど、僕は専ら請負開発。その点でちょっとは違う視点になるかもしれないし。
僕がモバイル開発に携わったのは2001年からとかなり長い方の部類に入るのではないかと思う。今までの大まかなトレンドを追っかけるとなにか見えてくるかも?
なお、トレンドつっても個人的に目の前に見えた開発案件が中心であり、世間の趨勢と合致してるかどうかはこの際無視してます。
2001年〜2003年ごろ - アプリ開発花盛り
この頃はiアプリ開発を中心に、プリセットアプリやEZのJavaアプリ、果てはBREW開発などアプリ開発案件が引きも切らなかった。
思えばこの頃はセキュリティに関しては非常に気を遣ったシステムだったんじゃないか。iアプリはダウンロードしたサーバーとしか通信できないし、スクラッチパッドもアプリごとの保存でネイティブデータにも基本アクセスできない。BREWに至ってはキャリアの認証がないと公開できないし。
そもそもいずれも実行環境が完全なSandboxだったので、開発者はほとんどセキュリティに気を使わずに済んだ。
2004年〜2005年ごろ - 公式サイト開発花盛り
アプリの案件はだんだん少なくなって、一方で山のように公式サイト開発の発注が。
当時はアプリチームと公式サイトチームに分かれており、僕はアプリチームに属していたので、認証云々は疎かったんだけど、以下のようなしくみだったと思う。
- iモードは公式サイトのみ取得できるiモードIDで取得する。サイトから直接漏らさない限りこのIDは漏れることはない。認証は都度行われず、入退会のときのみ行われ、月次で帳尻合わせする。
- EZwebは悪名高きサブスクライバID。ただし、公式のサーバーと通信して都度認証を行っていたような。。
- Vodafone(当時)はHTTPヘッダに乗ってくる個体識別番号を元に認証(もうあんまり覚えてない・・)
確かにこのままオープンになれば危険きわまりないんだけど、公式サイト開発前提だったら利便性としては悪くなかったのかもしれない。
2006年〜2007年 - 急速に公式サイトが下火に、勝手サイトが急速に台頭
2005年後半から2006年明けたくらいから、公式サイト案件がみるみる少なくなってきて、種別も多種多様になってきた。
はっきり言ってこのあたりから、「モバイル」ってだけでは既にコアコンピタンスでなくなっていたと思う。もっと言えばサイト作るたびに初心者状態。お世辞にも技術力が高いとはいえなくなっていたと思う。
キャンペーンサイトなどは手がけたりもしていたが、やはり高木先生も指摘するとおりセッション変数を引き回すしかない。個人的には、正直こんなシステムでECをやるのは狂気の沙汰だと思っていたが残念ながらビジネスを止めるわけにもいかず・・
2008年〜 - 自社勝手メディア開発へ
そして現在、自社勝手メディアを開発・運用中。認証の基本は他のサイトと同様、id/pw + 簡単ログインが基本。
危険性はある程度分かっていたが、本サイトだけユーザビリティを下げるわけにも行かないというのが他のサイトも同様じゃないかしら。
そして、最初はセキュリティの担保としてGWのIPアドレスで許可・不許可を行っていたのだけど、そこにも脆弱性が潜んでいるとは恥ずかしながら気づいてもいなかった。
そしてさらに、考慮しなくてはならないのがモバイルSEO。高木先生の指摘どおり、確かにクローラーごとにGWのIPアドレス公開されているんだけど、正直現場の肌間でいうと、モバイルクローラー対策のために、
IP制限を撤廃し、User-Agentでのみ判別してクローラーに反応するように改修
したCPが、ほとんどではなかろうか。
そしてさらに、最近の事象として報告されているのが、EZのサブスクライバID変更を利用した複数アカウントの取得。
一般的にモバイルサイトでは端末IDでユーザー認証をしていることが多いが、EZでは実はサブスクライバIDを変更することは可能。これを利用して、モバゲー強制退会を復活する技なんてのが流行っている模様。
また、詳しく言及は避けるが、アフィリエイト成果報告についても悪用したユーザーが少なからずいるらしい。
CPも既にしっぺ返しをくらっているんだよね。
で、考慮されてるセキュリティレベルって全体的にどうなのよ
今までの経験からいうと、分野によって考慮されているセキュリティレベルが本当にバラバラ。
アプリのセキュリティレベルはある種不便なくらいガチガチだし、デコメールだってそこそこ考えられてると思う。
絵文字とかはええ加減にせえよって思うが・・
でも肝心のwebに関してはグダグダ。特にiモードが最悪にひどいことはいうまでもない。*1おそらくこれは公式サイト開発のためだけにしか当初考えられていなかったのを、広く勝手サイトで流用しようとしたからではないかな。何事も最初から設計して作るとキレイに出来上がるけど、ツギハギが過ぎると手酷いことになるという典型では?
*1:CSS外部参照非対応とか意味ないだろ…