iPhoneのUDIDが話題になっていますね。
やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合という記事。
ニコニコ動画のアプリにおいてiPhoneのUDIDをセッション代わりにしていたという話。

高木氏はケータイの端末IDと絡めて
ケータイWebの蛸壺化という話をされていますが、
UDIDをセッションとして使うことの問題は海外でも話題になっていますね。

つい先月にこんな記事がありました。
UDID causes security compromise? Tapulous products' users in danger!
Tap Tap Revengeとかで有名なTapulousのアプリ全般において、
UDIDのみで認証がなされているという話です。
FacebookとかTwitterのアカウントとも紐づけることができるので結構危険っぽい。

おそらくまだ修正版は出ていないので、
Tapulousのアプリを持っている人は自分のアカウントが悪用されないように祈りましょう。
上記のブログには、UDIDを認証に使うアプリはApp Storeにたくさんあるというコメントもあります。
水が低い方に流れるのは日本特有の現象ではなく万国共通なので注意が必要です。

他人事のように書いた後でアレながら、
やはり触れないのはフェアではないので私の作ったアプリRemoteTubeLiteの話もします。
私のアプリでは現在UDIDを取得していますが、
セッションはログインごとにランダムなセッションIDを配布していますので、
簡単になりすましたりはできません。
Twitterのアカウントを登録する部分に関しても、
サーバ側には保存しないようにしているので大丈夫でしょう。
……といいつつ、調べられたら脆弱性が見つかりそうなのがｶﾞｸﾌﾞﾙなんですが。

私がUDIDを取得しているのは、
現在審査中の有料版ではユーザ同士がコミュニケーションをできる機能をつけることにしているからです。
その際、不良ユーザをUDIDでbanできたりしたらうれしいという話ですね。
UDIDを取っておいた方が何か起きた時によいかな、ぐらいの感じです。
Lite版は有料版から一部機能を取っ払っただけのものなので、
UDIDを取得する処理がそのまま残っている、と。

ただこの場合問題となるのは、iPhoneを売り払ったりした場合でもUDIDは変わらないので、
UDIDを基準にあれこれするのは適切ではないという点です。
UDIDでbanするとして、そのiPhoneを売り払われたり他の人に譲り渡されたりしたら
面倒なことになりますよね。
うちのような弱小ならば運用的に対処することも出来ますし、
問題が起こる確率自体低いので杞憂ではありますが、
3GSに買い換えるためにTap TapをインストールしたことのあるiPhoneを売り払った人とか
いるんじゃないでしょうか。

今後UDIDをどうするかは悩みどころですが、
iPhoneを他の人に渡した場合の問題や、
UDIDでセッション管理をしていると思われる可能性、
そしてプライバシーの問題もあるので
とらないようにしようかと考えています。