Ads by Google
新しい記事を書く事で広告が消せます。
--------(--)
セッション管理
携帯端末の多くの機種でクッキーが使えないため、携帯サイトではPCサイトのようにクッキーにセッションIDを保存することができません。そのため、uidをセッションId代わりにするか、GETでセッションIDを持ちまわすことになります。GETで持ちまわすと比較的セッションIDが漏れやすくなるのですが、そこはギュッと目をつぶります。
php.iniもしくは.htaccessでsession.use_trans_sidをOnにしておくとコーディング自体はクッキーを利用できるときと同じようにsession関数を利用できるようです。(まだ確認してません(汗))
どちらが良いのか?
ユーザがuidの送信を拒否している、uid送信の可否をその都度問うのは使い勝手が悪い、などの理由により、uidを使いづらい場合はGETの利用が向きそうです。
逆にとにかくセッションハイジャックを防ぎたい場合はuidが向きそうです。
php.iniもしくは.htaccessでsession.use_trans_sidをOnにしておくとコーディング自体はクッキーを利用できるときと同じようにsession関数を利用できるようです。(まだ確認してません(汗))
どちらが良いのか?
ユーザがuidの送信を拒否している、uid送信の可否をその都度問うのは使い勝手が悪い、などの理由により、uidを使いづらい場合はGETの利用が向きそうです。
逆にとにかくセッションハイジャックを防ぎたい場合はuidが向きそうです。
2008-04-01(Tue)
携帯端末の個体識別情報(uid)をユーザー認証に使う
携帯サイトではユーザー認証を行う際に個体識別情報(uid)を利用できます。逐一ユーザーIDとパスワードを入れさせることなくユーザー認証が行えるため便利です。
その主要3キャリアの個体識別情報の利用方法をまとめてみたので掲載します。
PEAR::Net_UserAgent_Mobile
PHPならPEAR::Net_UserAgent_Mobileを使うと楽にできるかも?
新機種に対応しているか確かめていませんが、していなかったとしても一部手直しすればいいだけではないかなと予想。
取得方法:ドコモ 公式ページ個体識別情報ヘルプ
User-Agentヘッダの中に含まれます。ただし常に含まれるわけではなく、画面遷移の際に使われたAタグもしくはFormタグにutn属性が含まれている場合のみです。
書式例:
携帯・自動車電話とFOMAはユーザーエージェントに含まれるuidの書式が異なります。詳細は公式ページを参照して下さい。
NULLGWDOCOMOの利用
http://mob.foo.com/?uid=NULLGWDOCOMO
とuidにNULLGWDOCOMOとリンクを張ることにより、DOCOMO側でNULLGWDOCOMOの文字列をuidに変換してくれるようです。ただしこれは公式サイトでなければ使えない模様。
SoftBank 公式ページ個体識別情報ヘルプ
端末シリアル番号という呼び方をします。HTTP_USER_AGENTの中に含まれているので抜き出して使えばOKです。記述内容はSoftBank 4-2 SeriesとSoftBank 6-5 Series、SoftBank 3G Series / Disney Mobileで異なるようです。詳細は公式ページ個体識別情報ヘルプを参照のこと。
もっともヘッダに含まれるHTTP_X_JPHONE_UIDを使ったほうが楽そうです。$_SERVER['HTTP_X_JPHONE_UID']でとれるので簡単です。ただ、HTTP_X_JPHONE_UIDに関する公式資料を見つけられていません。そこが怖い点です。
なお、「製造番号通知がOFFの設定になっている端末からは、端末シリアル番号を取得できません。」とのこと。そういう端末から端末シリアル番号を取得したい場合はどうすれば・・・? あきらめるんでしょうか。
AU 公式ページ個体識別情報ヘルプ
ヘッダに含まれるHTTP_X_UP_SUBNOを使えば良いようです。機種ごとの違いについては記述がなかったようなので、たぶんないのでしょう。そう信じたいです。
注意点
古い機器を友人に譲るなど携帯電話の利用者が変わった際に、旧利用者の情報が新利用者に閲覧されてしまう可能性もあります。取得するのがドコモのiモードIDのようにユーザーごとに振られている番号であれば大丈夫なのですが、utnで取得する携帯電話の製造番号のように機器そのものに振られている番号であるなら要注意。
その主要3キャリアの個体識別情報の利用方法をまとめてみたので掲載します。
PEAR::Net_UserAgent_Mobile
PHPならPEAR::Net_UserAgent_Mobileを使うと楽にできるかも?
新機種に対応しているか確かめていませんが、していなかったとしても一部手直しすればいいだけではないかなと予想。
取得方法:ドコモ 公式ページ個体識別情報ヘルプ
User-Agentヘッダの中に含まれます。ただし常に含まれるわけではなく、画面遷移の際に使われたAタグもしくはFormタグにutn属性が含まれている場合のみです。
書式例:
<A href="URL" utn>
<FORM method="メソッド" action="URL" utn>
携帯・自動車電話とFOMAはユーザーエージェントに含まれるuidの書式が異なります。詳細は公式ページを参照して下さい。
NULLGWDOCOMOの利用
http://mob.foo.com/?uid=NULLGWDOCOMO
とuidにNULLGWDOCOMOとリンクを張ることにより、DOCOMO側でNULLGWDOCOMOの文字列をuidに変換してくれるようです。ただしこれは公式サイトでなければ使えない模様。
SoftBank 公式ページ個体識別情報ヘルプ
端末シリアル番号という呼び方をします。HTTP_USER_AGENTの中に含まれているので抜き出して使えばOKです。記述内容はSoftBank 4-2 SeriesとSoftBank 6-5 Series、SoftBank 3G Series / Disney Mobileで異なるようです。詳細は公式ページ個体識別情報ヘルプを参照のこと。
もっともヘッダに含まれるHTTP_X_JPHONE_UIDを使ったほうが楽そうです。$_SERVER['HTTP_X_JPHONE_UID']でとれるので簡単です。ただ、HTTP_X_JPHONE_UIDに関する公式資料を見つけられていません。そこが怖い点です。
なお、「製造番号通知がOFFの設定になっている端末からは、端末シリアル番号を取得できません。」とのこと。そういう端末から端末シリアル番号を取得したい場合はどうすれば・・・? あきらめるんでしょうか。
AU 公式ページ個体識別情報ヘルプ
ヘッダに含まれるHTTP_X_UP_SUBNOを使えば良いようです。機種ごとの違いについては記述がなかったようなので、たぶんないのでしょう。そう信じたいです。
注意点
古い機器を友人に譲るなど携帯電話の利用者が変わった際に、旧利用者の情報が新利用者に閲覧されてしまう可能性もあります。取得するのがドコモのiモードIDのようにユーザーごとに振られている番号であれば大丈夫なのですが、utnで取得する携帯電話の製造番号のように機器そのものに振られている番号であるなら要注意。
2008-04-01(Tue)
携帯サイト開発のための基本参考サイト
携帯サイトの開発プロジェクトに加わるかもしれないので基本的な参考サイトをまとめてみました。
ドコモ
| エミュレータ | 900iシリーズ以前用:iモードHTMLシミュレータ 901iシリーズ以降用:iモードHTMLシミュレータII |
| 技術解説ページ | 公式ページ |
AU
| エミュレータ | Openwave® SDK 6.2K |
| 技術解説ページ | 公式ページ |
Softbank
| エミュレータ | Web Contents Viewer |
| 技術解説ページ | 公式ページ |
便利なツール
- えもっち・・・キャリア(携帯電話)に絵文字を使ったメールの送信をするためのソフト。pack()のためのバイナリ文字列を調べるのにも利用できる。
- P1emulator・・・個々の端末情報に合わせたサイト動作チェックを可能にしたというエミュレータ。未確認だがすごそう。
参考記事
- アシアル・絵文字データベースと相互変換マッピングデータベースのJSONファイル...・・・タイトルのファイルがDLできる。絵文字の取り扱いに関するリンク集もある。
2008-04-01(Tue)
みんなの動画サーチを実例としたPHPでの開発における負荷対策について 第2回 〜対策の種類〜
みんなの動画サーチを実例としたPHPでの開発における負荷対策について 第2回 は、対策の種類についてです。
みんなの動画サーチ運用のために検討したときのメモを使いつつ、負荷対策の種類について概要を書いていきます。どうぞよろしくお付き合いください。
なお、つっこみ歓迎です。コメントがつけられないので連絡ページからお願いします(コメント拒否ですみません。アダルト業者のスパム投稿にうんざりしているのです)。
形態は大きくわけて2つ
では始めましょう。
負荷対策にはいくつかの方法があるのですが、それらは大きく2つに分けることができます。ソフトウェア的な対策と、ハードウェア的な対策です。
そこで、この2つの対策についてのメリットデメリット、そしてそれらを勘案したみんなの動画サーチの方向性についての概要をご説明したいと思います。
2008-03-27(Thu)
PHPを使った開発における注意すべきCSRF対策について
CSRF
認証を利用したサイトの運営をしているときに注意がいる攻撃がCSRFです。これは正規のユーザーが不正な処理を無理やりやらされるアタック手法です。順番はこうです。
- ソーシャルエンジニアリング等で攻撃ページへユーザーを誘導します。
- 引っかかったユーザーに対して強制的に指定したHTTPリクエストを送信させます。たとえばinput.php?title=hamati&contents=hellohelloといった具合です。
- HTTPリクエストを送るユーザーは正規のユーザーであるため、アプリケーションサーバーは送信されたHTTPリクエストに応じて正規の処理を実行します。
- 結果、ユーザーが予期しない処理が行われることになります。
これがCSRF(Cross-Site Request Forgeries:クロスサイト リクエスト フォージェリ)です。かの有名SNS、Mixiで昔勝手におかしな記事がアップロードされる「はまちちゃん」騒動がありましたが、あのとき用いられたのがこのCSRFだったようです。
CSRFはセッションが継続している必要があるので、ログアウト後には効果を持ちません。だからこそユーザーがセッションが継続しているときを狙い打ちしやすいSNSで流行ったのでしょう。
対策としてはワンタイムトークンの利用やパスワードの再入力があります。
どの対策を取るかは重要性に応じて決めるとよいでしょう。投稿程度の軽いものなら裏でhiddenを使ったワンタイムトークンを利用し、購買決定や退会、パスワード変更のような重要なものならパスワードの入力を求める、という形態が良いと思われます。
2008-03-25(Tue)
みんなの動画サーチ 現在の人気動画
