この広告は、90日以上更新していないブログに表示しています。

2011-05-18

携帯向けWebアプリのセキュリティ

セキュリティ モバイル

■ブラウザの特徴

クッキーが使用できない端末の存在

・iモード
　クッキーの使用不可
・iモード以外
　クッキーの使用可能
→シェアの高いドコモ端末でクッキーが使用できないため、セッション管理(セッションID)をクッキーを使用せずに
URLにセッションIDを埋め込む方式が主流

JavaScriptが使用できない端末が大半

・iモード
　iモード2.0以降でほぼフルセットのJavaScriptに対応
・ソフトバンク
　2004年のノキア702NKで非公式に簡易的JavaScript対応
　2006年以降多数の端末で非公式にJavaScript対応
　2010年夏モデルの一部で公式にJavaScript対応
・au
　JavaScript未対応

リクエストヘッダの制限

Refererが送信されない場合がある
→RefererをCSRF対策に使用する事ができない

■携帯IDについて

・IDとパスワードの代わりの認証用識別子として利用される
・クッキーの代わりにセッション保持の目的

今日はここまでで、続きは後日記述します。