ke-tai.org ケータイサイト開発に関わる記事・情報を紹介

先日APIのオープン化を発表し、デベロッパーズサイトをオープンしたモバゲーですが、説明会「モバゲーオープンプラットフォーム Forum2009」の資料がPDFで公開されています。

→　DeNA デベロッパーズサイト モバゲーオープンプラットフォーム [developer.dena.jp]

→　モバゲーオープンプラットフォーム Forum2009　PDF資料 [developer.dena.jp]

中身をざっと見た感じでは、某SNSサービスに比べて、課金や広告などビジネス色が前面に出されている感じです。

後半は技術資料となっていて、OpenSocialについての説明やAPIの解説が掲載されています。

資料内でのサンプル画像が「○×牧場」となっていたりしており、かなり先行サービスを意識していることが見受けられます。

また上記のデベロッパーズサイトでは、10/5からパートナーデベロッパーの登録申請が開始されたようです。

以前にも登録用フォームはあったのですが、あちらは仮のものだったため、改めて登録し直す必要があるようです。

しかしながら、現在のところまだ登録だけでログインはできないようです。

パートナーデベロッパー登録は法人でなくては登録できませんが、仕事としてゲーム作成に興味のある方はチェックしてみてはいかがでしょうか。

関連：

• 「mixi、モバゲーのトップが語るモバイルSNSのオープン化」　CNET Japan
• 「DeNA デベロッパーズサイト モバゲーオープンプラットフォーム」がオープンしたようです
• モバゲーがゲーム用APIを公開するとのことです

先日はてなブックーマークモバイル版で、他人になりすましてアクセスできるという脆弱性があったのですが、　はてなからそれに対する公式なコメントが出ているようです。

原因とその対策についても触れられており、モバイルサイトを作成している方には参考になると思われるため、ご紹介させていただきます。

→　はてなブックマーク日記　「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 [hatena.ne.jp]

ご存知のない方のために軽く説明すると、9月下旬にid:guldeen氏のブックマークコメントが、何者かに改ざんされるという事件がありました。

当初、パスワードが盗まれたのでは？という話になっていましたが、どうやらセッションハイジャックによるものだったようです。

はてなの報告によると、モバイル版の一部のページでコンテンツをキャッシュしており、その中でセッションIDをキャッシュしてしまうという問題があったようです。

ドコモ端末の場合、ごく最近発売された機種を除きほとんどの機種でクッキーが利用できないため、セッションはURLの後ろにセッションIDを保持して引き継ぐという形になります。

そのリンクを踏んだ他のユーザは、そのセッション情報を引き継いでしまい、他人でログインしたのと同じ状況になってしまっていたようです。

今回の場合は、

1. セッションIDがURLについた状態でキャッシュしてしまっていた
2. セッション情報が本人のものであるかどうかのチェック処理が足りなかった

という2点が原因となっていたようです。

1の方は当たり前ですがセッション情報を取り除いてからキャッシュするようにする。
2に関しては、セッションやDB内にユーザ（契約者）ID・端末IDなどを保存しておき、アクセスの要所要所（可能なら毎回）で端末側からIDを取り直しそれと比較する、といった処理が必要になると思われます。

はてな側では不正アクセス禁止法違反と言っていますが、利用者は普通にアクセスするだけで他人になりすませたわけで、不正アクセスかどうかは微妙なところだと思います。

ケータイのセッション管理（特にドコモ端末）は、PCに比べセキュリティの問題が大きく関わってきます。

今回の件を教訓として、セッションを使ったサービスを開発する場合には、より一層の注意をしたほうが良さそうですね。

関連：

• JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」
• ソフトバンクの携帯用GatewayをPCで通る方法があるようです
• 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました

ezweb.ne.jpで取得できるメールアドレスの仕様が変更になったようです。
「..（連続するドット）」、「@の前の.（ドット）」などが禁止されたようです。

→　Web屋のネタ帳　au by KDDIがメールアドレスの設定仕様を再変更。2006年の改悪前に戻しましたの巻 [neta.ywcafe.net]

→　au by KDDI　Eメールアドレス変更方法 | 迷惑Eメール防止方法 [au.kddi.com]

ケータイのメールアドレスは各社ともRFC無視で進められてきたため、連続するドットや@前のドットなどを使うことができ、一部MTAから送信できないなどの問題が起こることがありました。

2009年4月にドコモがメールアドレスの仕様を変更し、RFC準拠となりましたが、auもようやくそれに合わせる形となったようです。

具体的には次のようなルールとなったようです。

• Eメールネーム文字数が、30文字まで利用可能です。
• 半角英数字、小文字、「- (ハイフン)」、「. (ピリオド/ドット)」、「_ (アンダーバー)」が使用できます。
• 「.」をアドレス内での連続使用や「.」をEメールネームの最初/最後に使用することはできません。また最初に数字の「0」を使用することもできません。

これで全キャリアが一応RFC準拠となったわけですが、あくまで新規取得分だけで、今回の仕様変更以前からのメールアドレスを引き続き使っているユーザもいることにご注意ください。

各社のメールアドレスについては、以前こちらの記事でもまとめたことがありますので、合わせてご覧ください。

→　ke-tai.org　ケータイ各社のメールアドレスについて改めてまとめてみました [ke-tai.org]

関連：

• ケータイ各社のメールアドレスについて改めてまとめてみました
• ドコモがメールアドレスの仕様を変更 RFC準拠に
• ケータイでのメール受信設定についてまとめてみました

ニュースです。
PHSのウィルコムが、どうやら経営危機に陥っているようです。

→　NIKKEI NET　ウィルコム、返済延長要請へ　私的整理、ＰＨＳ継続し再建急ぐ [nikkei.co.jp]

→　YOMIURI ONLINE　ウィルコム、債務１千億円の返済期限延長要請を検討 [yomiuri.co.jp]

→　毎日jp　ウィルコム：事業再生ＡＤＲ申請、最終調整　１０００億円返済延期など [mainichi.jp]

私的整理の一種の「事業再生ＡＤＲ（裁判外紛争解決手続き）」を申請する方向で最終調整しているとのことです。

私も以前はウィルコムを愛用していましたが、昨年ごろに解約してしまいました。
最近は通話はソフトバンクに、通信はイーモバイルにシェアを奪われて苦しいところだったと思われるので、経営危機もまあしょうがないのかもしれません。

10月にスタートするという次世代PHSであるXGPには期待していたので、ぜひ危機を乗り越えてがんばって欲しいところです。

関連：

• 2009年3月19日付けでウィルコムのIPアドレス帯域に削除があったようです
• ウィルコムのIPアドレス帯域が2009年2月1日付けで変更されています
• 2009年1月15日からウィルコムの新ドメイン「@willcom.com」が利用可能になります

フォーラムからのタレコミです。

CNET Japanに、mixi、モバゲーのモバイルSNSオープン化に関する記事が掲載されているそうです。

最近私もmixiアプリに少しだけ関わっていたりするため、興味がある内容でしたのでご紹介します。

→　mixi、モバゲーのトップが語るモバイルSNSのオープン化 [japan.cnet.com]

先日行われたイベント「モバイル・ビジネス・サミット 2009」で、ミクシィ 代表取締役社長の笠原健治氏、ディー・エヌ・エー 取締役 ポータル事業部長兼COOの守安功氏、ロックユーアジア COOの渡邉廣明氏が、本格化するモバイル向けソーシャルアプリケーションについてパネルディスカッションを行ったとのことです。

記事内では、先行してオープンしたPC向けのmixiアプリの状況や、10月中旬に公開予定のモバイル版について解説されています。

一方モバゲーについては、先日公開されたデベロッパー向けサイトや、10月5日に行われる「モバゲーオープンプラットフォームForum2009」 [developer.dena.jp]　（※現在申し込み多数で受付停止中）についても触れられています。

今後モバイル向けゲームなどのサービスを作成する場合は、単体でサイトを立ち上げるよりは、こういったAPIを利用して参入していくケースが多くなっていきそうです。

興味のある方はチェックしてみてはいかがでしょうか。

関連：

• 「DeNA デベロッパーズサイト モバゲーオープンプラットフォーム」がオープンしたようです
• モバゲーがゲーム用APIを公開するとのことです
• モバイルサイトの負荷分散に関するノウハウが多数紹介されている記事「モバゲータウンのつくりかた」