はてなはユーザ認証に全てのサービスで共通の Cookie を使っている。この Cookie はログインしなおしても変わらない。高木浩光@茨城県つくば市 の日記を参照。高木さんがこれを書いたときからはいくらか事情が変わっているだろうけど。
で、はてなグループみたいな新サービス導入時のベータテストにも同じ Cookie が使われてしまうのはどうなんだろうと思う。はてなグループには XSS 脆弱性が結構見つかっている。ベータテストなんだからそれはいいんだけど、他のサービスと同じ Cookie を使うことで、ユーザが必要以上にリスクを負うことになる。
今後もはてなは新しいサービスを導入していくだろう。そのベータテストのたびにユーザが必要のないリスクにさらされるのはおかしい。高木さんが書いているみたいにセッション ID を使う。次善の策としては、今の Cookie を失効して、サービス毎に違う Cookie を新しく発行しなおす。それも駄目なら、ベータテスト時だけの Cookie を発行する。ぐらいはする必要があるじゃなかろうか。
最近のコメント