docomo夏モデルN-06Aが不具合で発売中止になったり、アップデートがもう配信されつつあったりとなにかとdocomoの周りが騒々しいですが、2chでiモードブラウザ2.0のちょっと怖い話を見かけました。考えすぎとの声もあったようですが、個人的にはなるほどと思ったので紹介させていただきます。
iモードブラウザ2.0の特徴として、Referer(サイトの遷移元をサーバーに通知する)とCookie(個別の情報を端末側に保持する。セッション管理によく使われる)に対応したというのがありますが、今までのiモードサイトはこれらがない状態を想定して、セッションを開始する際に、本来Cookieによって保持されるセッションIDをURLの一部に埋め込む処理を行います。
例を挙げると、ログイン後のURLが
http://hogehoge.com?jsessionid=zxealkwq0123
のようになり、「jsessionid=…」の部分にセッションIDが表れます。
ということは、iモードブラウザ2.0対応機で旧iモードを想定したサイトにアクセスし、セッションが有効な状態で他のサイトに遷移すると、遷移先サイトのサーバーはReferer(遷移元)を参照することで(URLの一部として)セッションIDを知ることが可能になります。
セッションIDは人間が目で見て直接ユーザーIDやパスワードに変換できるわけではありませんが、理屈上、同一のセッションIDを含むURLを用いて別の端末からアクセスすれば、サーバー側は同一ユーザーとして処理してしまうわけで、いわゆるセッションハイジャックに対するリスクとなります。
PHPやJavaなどの処理系では、Cookieが無効な場合のみURLにセッションIDを埋め込むという動作をすることが多いので、必ずしもすべてのサイトが問題となるわけではありませんが、サイト管理者としてはiモードブラウザ2.0の出現により新たなセキュリティリスクが発生することになり、サイトに修正を迫られるかもしれません。
一方、iモードブラウザ2.0の端末ユーザーは、このようなRefererのセキュリティリスクを十分に理解し、場合によっては自分の判断でRefererの送出を停止することが必要になります(幸いRefererの送出は端末で有効・無効の切り替えができます)。
さらにdocomoには、当面(iモードサイトがCookieを想定するようになるまで)の間、iモードブラウザ2.0端末のReferer送出設定をデフォルトで無効にすることを提案したいです(現在はデフォルトで有効)。
こうやって考えてみると、今回のiモードブラウザ2.0での仕様変更は、Vodafone3G導入時の仕様変更に相当するインパクトがあるんじゃないかと思っています。こんな仕様変更をさらっとやってしまって大丈夫なんでしょうか。ご存知のとおり、Vodafoneは3G導入時にコンテンツ対応が遅れて相当苦労をしています。docomoが同じ轍を踏まないことを願いたいです。
#とりあえず当サイトはログインなどはないので大丈夫のはずです。実機がないので動作確認はできませんが。
ピンバック: docomo i-modeブラウザ2.0 について | ブログ | 携帯サイト制作・携帯システム開発・携帯サービス構築 VISHモバイル[愛知県名古屋市]
ピンバック: docomo i-modeブラウザ2.0 対応についての新機能・特徴と問題点や注意点について (H.I. Art Works [ Web Technology ] - ウェブ制作技術情報 -)