docomoがようやく本気を出してきた件

最近は、携帯サイト（スマホ含む）の構築をしてます。
携帯サイトの構築で、いやでもブチ当たる壁が「セッション管理どうすんのさ？」って話ね。
現在の段階では、ようやく、セッション管理のCookieウマーの時代がやってきているようですね。

モバイルサイトの3キャリア共通CSSと最新コーディング事情 : LINE Corporation ディレクターブログ

徳丸本なるもの

セッション周りのセキュリティはこちらでお勉強。
キャリア毎の違いや対応方法・対策など、へぇ〜なことが詰まってます。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

• 作者: 徳丸浩
• 出版社/メーカー: SBクリエイティブ
• 発売日: 2011/03/01
• メディア: 単行本
• 購入: 119人 クリック: 4,283回
• この商品を含むブログ (146件) を見る

おもちゃで遊び終えたら、おもちゃ箱に戻しましょう！

まだまだdocomoユーザーの半分ほどは、cookie非対応端末のようで、
「あなたクッキー食べれないから、このサイト見せませーん！」っていう意地悪はしなかったんです。
（URLにパラメータ渡して〜ってやつ。）

・・・が、SSLを部分適用（ログイン系・会員登録系のみに使用する）の場合、auさんが「あう〜。。。orz」ってなるんです。

au,SoftBankでSSLでCookieセッションを使用する場合の問題点 - maru.cc@はてな

僕がはまったときは、
ログイン前TOP（非SSL）→ログイン（SSL）→ログイン後TOP（非SSL）っていう遷移のときで、
認証に成功して、非SSLのログイン後TOPにリダイレクト・・・するはずなのに、ログイン前TOPに行く。みたいな。
（セッションが引き継がれないアレですね。）

うーん、どうするかなぁ・・・リリース近いしなぁ・・・っていうのもあって、
・docomo,auはcookieを使用しない
・softbank,他はcookieを使用する

っていう結論に至ったわけですが。
「サイトとしてSSLをどうするかを決める→セッションの引き継ぎの方針が決まる」ってことを肝に命じておく。

格言的な

まだまだCookieはまずい。