とりあえず、ケータイのWEBを作ってる技術者と、ケータイサイトを運用している人は必ず読んで理解しておいた方がいい（むしろ、しなくてはいけない）お話です。

高木先生のユニークIDがあれば認証ができるという幻想
http://takagi-hiromitsu.jp/diary/20100411.html#p01

ぶっちゃけ言うと、hatenaを始め、ろくに仕様も知らずに簡単ログインを実装しているサイトが多すぎる事が第一の問題。よく言われるケータイWEBの技術者の質の低さですね。
次にその機能を提供するキャリアがちゃんとした情報を提供せず、むしろ逃げるような発言を繰り返している事が上げられる。
更に、最近とうとう簡単ログインそのものの仕組み、つまり、個体識別番号と呼ばれているようなユーザーに対してユニークであるとされていた事、そのものが崩壊しているという事。既に様々な手法で個体識別番号の偽装が可能であると発表されている。

先日、高木先生の記事にもあるが、Buzzurlが簡単ログインを廃止した。
http://labs.ecnavi.jp/news-info/2010/04/buzzurl_17.html
ECナビはこの一連の問題の大きさをいち早く理解し、適切な判断を下したと思っている。

正直なところ、簡単ログインってすごく便利なんですよね。ユーザーにとっても作る側にとっても。
実装するのはもの凄く簡単で、その為の情報もWEB上に溢れているんですが、その情報がすごく無責任。脆弱性ありまくりな状態で公開されているんですよ。あの有名なモバイル技術系ブログのke-tai.orgですら、一時期叩かれてましたし。

もともとは簡単ログイン推奨派で、むしろURLにセッションを付与するような仕組みの方が危険だと考えていたのですが、その考えする今では誤りだと思います。
安全な個体識別番号をキャリアが提供する前提があったのですが、ここ最近のdocomoの発表などからもこれが幻想だったと思います。

こうやって考えて行くと全てキャリアの責任、むしろほぼdocomoの、だと感じてしまいます。簡単ログインを使わない場合、やはりdocomoのセッション非対応端末が一番の問題になるでしょう。これはもうURLに付与せざる得ないと思うのですが、これを安全に行うにはどうしたらいいのでしょうか？
少し前までは、セッションを個体識別番号を両方常に認証掛けておけば問題ないと考えていましたが、これすら危うい気がしてきました。
なんか難しく考えすぎなのかな。少しゆっくり考えよう。