脳ざらし紀行


2004-04-25

_ [ネット] はてなの Cookie

はてなはユーザ認証に全てのサービスで共通の Cookie を使っている。この Cookie はログインしなおしても変わらない。高木浩光@茨城県つくば市 の日記を参照。高木さんがこれを書いたときからはいくらか事情が変わっているだろうけど。

で、はてなグループみたいな新サービス導入時のベータテストにも同じ Cookie が使われてしまうのはどうなんだろうと思う。はてなグループには XSS 脆弱性が結構見つかっている。ベータテストなんだからそれはいいんだけど、他のサービスと同じ Cookie を使うことで、ユーザが必要以上にリスクを負うことになる。

今後もはてなは新しいサービスを導入していくだろう。そのベータテストのたびにユーザが必要のないリスクにさらされるのはおかしい。高木さんが書いているみたいにセッション ID を使う。次善の策としては、今の Cookie を失効して、サービス毎に違う Cookie を新しく発行しなおす。それも駄目なら、ベータテスト時だけの Cookie を発行する。ぐらいはする必要があるじゃなかろうか。

お名前:
E-mail:
コメント:
本日のリンク元

最近のコメント

2003|01|02|03|04|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|04|05|06|07|08|09|10|11|12|
2010|01|04|05|
2011|04|
2012|03|07|
2013|01|02|07|
トップ «前の日記(2004-04-24) 最新 次の日記(2004-04-29)» 編集