« TurboLinuxでDVD | メイン | blogはマジメに書きましょう。 »
2005年11月14日
mixi機能拡張に関する株式会社イー・マーキュリー様へのご提案
以下の内容をmixiの機能拡張に関するアイデアとして株式会社イー・マーキュリー様へご提案致します。
◆◆◆ mixiを使ったSSO認証のアイデア ◆◆◆
例えばmixi以外の外部サイトでウェブページやブログを作成して「このコンテンツはマイミクさんだけに見せたいなあ。」と考えた時、現状では、以下のような方法が考えられる。
■考えられる方法
・外部サイトにアクセス制限を設定しmixiでパスワードを告知する
・外部サイトではなくmixiの日記にエントリとして公開する。
・外部サイトではなくmixiのプロフィール欄に記入する。
しかし、これらの法には次ようなデメリットが考えられる。
■上記方法の問題点
・アクセス制限はパスワード入力が二度手間、パスワード流出の可能性もある
・どのマイミクさんが来たのかわからない。
・外部サイトをやめてmixiの中で公開するとデザインの自由度が無い
■mod_mixi_ssoの提案
上記問題点の解決策としてmixi以外のサイトで公開されているコンテンツをmixiで認証済みもしくはマイミクのみにアクセス許可できるようなApacneモジュールを提案する。このモジュールをここでは「mod_mixi_sso」と呼称することとする。また、外部サイトで行われるmixiのユーザIDとパスワードによる認証の事を「mixi認証」と記述する。
■mod_mixi_ssoによるmixi認証の流れ
・mixi認証で保護されたURIにアクセス
・mod_mixi_ssoがmixi認証用のCookieの有無を確認
・Cookieがあればコンテンツをレスポンスする。
・Cookieがなければmixi.jp内にあるmixi認証用のページへリダイレクト
・リダイレクトする際CGIの引数で認証保護されているURIを渡す
・mixi認証用専用ページでユーザIDとパスワードを入力
・認証保護されたURIのドメインとパスを値に持つmixi認証済みを示すCookieを発行
・偽造防止の為Cookieにmixi.jpのみが知りうるキーで暗号化されたデータを含める
・認証済みCookieの送信の際に一緒に元の認証保護されているURIへリダイレクトする。
・認証済みCookieを受信した外部サイトは暗号化データを復号し偽造でない事を確認
■イー・マーキュリーにとっての利点
・mixi.jpで閉じたサイトではなくmixiブランドを広く展開できる
・mixi認証を利用する外部サイトに広告を掲載できる
・単なるSNSサイトではなく認証インフラの地位が築ける
■ユーザにとっての利点
・mixiのデザインに制限されない自由なページを作成できる
・マイミクにしか公開されないコンテンツを作成できる
・access_logからどのマイミクがページを閲覧したか確認可能
■未解決項目
・広告掲載をしないと認証を利用できないようにできるのか。
・mixi認証済みを偽る事ができるか充分な検証が必要
・mod_mixi_ssoの開発スキルが私には無い
・ユーザニーズがあるか不明
以上。
投稿者 abiru : 2005年11月14日 02:41
トラックバック
このエントリーのトラックバックURL:
http://abiru.jp/blog/mt-tb.cgi/242
このリストは、次のエントリーを参照しています: mixi機能拡張に関する株式会社イー・マーキュリー様へのご提案:
» 開発アイデアについて from IT会社が出来るまで
今、開発中のアプリのアイデアについて、不意に友人のブログで話が盛り上がった事がありました。
まだ、設計図も何も描いていませんが、取り敢えず手始めに、... [続きを読む]
トラックバック時刻: 2005年11月17日 01:11
コメント
それ、僕もいいアイデアだな、と思ったんですよ。
それで僕も設計してみたんだけど、クッキーと言うものは仕様上サイトごとの管理なので、mixiで見れているクッキーは 他のサイトで見ることが出来ないのです。というわけで、駄目っぽいのです。
認証をmixiのサーバーにさせるのであれば可能化も知れないけど... mixiは集中サーバー形式をとってるので、これ以上複雑な処理をさせられない、という事も背景になっているような気がします。
折角 囲い込んだユーザーをわざわざ自ら外部に放出したくは無いでしょうし...。
実は、個人的にはなかなかよい代替案を持っています。それは企業秘密なので後ほど リアルでお話しましょう。
投稿者 おかあつ : 2005年11月14日 06:11
おかあつさん、コメントありがとう!
Cookieではサイトごとに独立した管理なので、実現不可能だという
指摘についてですが、それは私も懸念した事項でしたので、以下の
ように記載したのです。
> ・認証保護されたURIのドメインとパスを値に持つmixi認証済みを示すCookieを発行
Cookieのデータにはdomainとpathという要素がある事をご存知かと
思います。これらの要素を認証保護されている外部サイトのURIの
ものにしてやれば、mixi.jpのサーバから発行したCookieであっても、
その後アクセスする外部サイトへHTTPリクエストが送信された時に
ヘッダに含まれると思うのですが、いかがでしょうか。
もっとも、HTTPリクエストを送った先とは異なるドメイン名でCookie
が返信されてきた時にブラウザ側でセキュリティの警告表示がされ
ないかという心配はあります。
この「自サイトと異なるドメインのCookieを発行して問題はないか。」
という部分については充分な検証作業が必要でしょう。
投稿者 あび : 2005年11月14日 09:29
ちょっと検証していないレスで恐縮なんですが、Cookieを発行するときserverって指定できましたっけ? 私の記憶だと pathだけで serverまでは指定できなかったような気がします。
でも、サブドメイン間でクッキーを共有したいこともあるから出来ないとおかしいかもしれないですが、出来るとセキュリティー上問題があるのではないかと思います。
でもひょっとしたらこれは出来ることであって、最近流行のクッキースパイウェアはこれを使っている、と言う線も考えられますね... 後で調べてみます。
僕もそろそろ blog に引っ越そうかと思っていますよ。
投稿者 おかあつ : 2005年11月14日 13:31
調べてみました。 サーバー越え Cookie どうやら指定できるようです。 これを使えば伝書鳩よろしく、他のサーバーに情報を遅れるんですね。 盲点で気がつきませんでした。
なるほど。これを使うと、かなり強力なことが出来ますね。
参考資料
http://www.tohoho-web.com/wwwcook.htm#CookieEncode
確かに、ミクシでログインした情報はミクシでしか取得できないわけですね。 だからミクシにそれを御願いするしかないわけです。
でも、この話をきいていいことを思いつきました。 こういうことを考えるのは私にとって本領です。 これも出来ればリアルでお話したいところです。
投稿者 おかあつ : 2005年11月14日 13:54
面白い案だなぁ、とは思います。
ただ、個人的な見解として
>mixi以外の外部サイトでウェブページやブログを作成して「このコンテンツはマイミクさんだけに見せる。」
という部分がmixiとして拡張すべき機能なのかどうかというのは疑問がありますね。
機能的にできるかどうかはさておき、それを使うユーザが増えるということは、
mixiの機能が外部のblog等に劣っているということを
暗に明示する結果になるような気がします。
そうなると、あえて"mixiを使う"必要性は全くないわけで、
はてなのPVモードでもことが足りてしまいます。
見せたくないからこそ、mixiの中に閉じるのが本来の形であり、
そこに行き着かないのは、その機能の需要が今はそれほど無いからでは、という見解です。
投稿者 しゅこー : 2005年11月15日 01:26
しゅこ〜さん、コメントありがと!
そうなんだよね、この機能を間違った方向に突き詰めて行くとmixi.jpは単なるユーザ認証局とバナー広告配信のけちな会社になっちまうのよね。ここまで膨張したユーザコミュニティと独特の空気感とブランドを維持しながらどうやって機能拡張するかは難しいところです。
エントリの最後にもちょこっとだけ書いたけど、ユーザニーズはやっぱり無いんだろうね。
んじゃあ、逆の提案としてmixi.jpのサイト自体に高機能なカスタマイズ機能を持ったCMSを実装するという方法も考えられないだろうか。こっちの方法も色々イメージしていて、別の機会にエントリを書いてみたいとおもいます。
投稿者 あび : 2005年11月15日 01:45
僕は mixiの機能が豊富でないのは意図的なものだと思います。
機能が豊富になれば、それだけ理解しづらくなり、結局コンピューターが得意な人しか来なくなる。 それを避けるためにぎりぎりなところを探っているような気がします。 僕は正直、あの open ボタンも ぎりぎりな選択だと感心しました。
また、技術的に見るとこうもいえます。 あれだけ強烈なユーザー数がいると、あの機能が正常な運営が可能なぎりぎりの線なのでしょう。 新着日記機能も大分ダイエットの跡が見えますし、ぎりぎりな感じがします。
僕がmixiを使っているのは 読者がはっきりと特定できるからです。 これは今のブログやホームページに無いSNSだけに存在する機能だと思います。
特定の読者だけに見せる、特定の読者には見せない、誰が見に来たのか簡単に特定できる、という3点が SNSが優位な点ではないでしょうか。
BLOGでこれが可能になら、SNSの存在意義はなくなるでしょう。
投稿者 おかあつ : 2005年11月15日 19:22
>折角 囲い込んだユーザーをわざわざ自ら外部に放出したくは無いでしょうし...。
イーマーキュリーにとっては↑が一番の問題でしょう。
技術的にはmixiをProxyサーバとして、
mixi.jp/hoge.pl?url=http以下URIエンコードされた目的のURI
のようにアクセスさせるようにすれば対ユーザの方はOKかと。サーバの負荷は無視してます。
投稿者 kobattt : 2005年11月15日 23:45
>特定の読者だけに見せる、特定の読者には見せない、誰が見に来たのか簡単に特定できる、という3点が SNSが優位な点ではないでしょうか。
この点では足あと機能の対象がトップページのみなのはちょっと淋しいですね。ちょっと力の入った記事を書いて反響がないとき、書いた場所が悪くて読んでもらえてないのか、実は内容がヘボでスルーされているのかわからない……。(笑)
投稿者 kobattt : 2005年11月16日 00:00
>技術的にはmixiをProxyサーバとして、
>mixi.jp/hoge.pl?url=http以下URIエンコードされた目的のURI
それはいいアイデアだね。 サーバー負荷を考えるなら、Forward : するだけでも機能的には十分オッケーでしょう... 。
僕個人的には、クッキーを利用しないで自分が誰なのかを明らかにする機能が実現できれば、SNSは壊滅すると思っています。 少なくとも技術的には。ここだけの話ですが、それはAppletでProxyを作ればあっさり実現するでしょう。
#確かに今はアプレットは下火でプラグインインストール率も低いですが、2~3年以内に戻ってくると思います。 恐らく 大幅な機能刷新が予定されているJ2SE6.0が出たあたりで世の中は折り返してくると思います。 はらたいらさんに3000点。
と言うわけで、SWING画面職人を目指して修行中の身です。
投稿者 おかあつ : 2005年11月16日 02:56
今知ったんですが、fc2.com には足跡機能がありますね。 fc2.com にログインしていれば、当然fc2.com配下のクッキーは読めるわけで、 それを利用してユーザーを特定しているようです。
投稿者 おかあつ : 2005年11月16日 03:45