EZ番号に関する注意書きが変更された

 今日、KDDIのEZfactoryのEZ番号に関する説明が変更されていました。

2011年6月9日の内容(URLは魚拓)赤字はママ

HTTP Requestヘッダ情報では、この他にHTTP_X_UP_SUBNOフィールドにてEZ番号が確認できます。
EZ番号は、ユーザの端末操作によって、送出しない設定にすることが可能です。ユーザが「送出しない」設定にした場合、本フィールドは送出されません。

※EZ番号に関する注意
EZ番号はスマートフォン等では詐称可能なため、ユーザー認証に用いる場合には、EZ番号と併せてEZサーバのIPアドレス等、複数手段で確認してください。

http://megalodon.jp/2011-0609-1231-51/www.au.kddi.com/ezfactory/tec/spec/4_4.html


本日2011年7月15日の内容。赤字指定は筆者。

EZ番号とは、EZweb契約ごとにユニークに付与されるIDです。例えば、ユーザーの判別などに利用することができます。

IPアドレス/ユーザーエージェントでのフィルタ、ID/パスワード認証を併用するなど、サイト内容に応じた適切な方法でご利用ください。

EZ番号の情報は、「HTTP Requestヘッダ」の「HTTP_X_UP_SUBNO」フィールドに格納され、Webサーバに送信されます。
EZ番号はユーザーの端末操作によって、送出しない設定にすることが可能です。ユーザーが送出しない設定にした場合、本フィールドは送出されません。

※2011年秋冬モデル以降の一部機種ではPCSVとEZブラウザのIPアドレス帯域は統合されますが、例えば、ユーザーエージェントを組み合わせることでブラウザを判別することができます。

http://www.au.kddi.com/ezfactory/tec/spec/4_4.html


6月15日の日記では以下のように書きました。

これはダメでしょう。EZ番号をユーザ認証に用いる状況をキャリアとして公式に認めている一方で、安全な確認方法は具体的に示されていないからです。

http://d.hatena.ne.jp/ockeghem/20110615/p1

 本日改訂された内容は、「EZ番号をユーザ認証に用いる状況をキャリアとして公式に認め」ないように、婉曲な表現になりましたね。
 au/KDDIは、EZ番号による認証を保証していない(かつては保証しているように受け取れるような表現だったが、否定された)と見て良いでしょう。EZ番号による「かんたんログイン」は推奨しませんが、仮に実装した場合は、事故があってもサイト運営者の責任ということになります。

[PR]

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践