2004-11-08
_ [ネット] amazon さんが google で大変なことに
amazonさんの作り方が Google 2位に急浮上。Google の検索サーバによっては順位が違う。
_ ここで一旦 CM
あの塊魂が『塊魂 PlayStation 2 the Best』として2380円で登場。すばらしいですね。ナイスですね。
_ [ネット] みんな良い人だなあ
はてな住所教えて騒動を眺めつつ、みんな正面からとか斜に構えてとか、まあとにかくちゃんと考えようとしているのに感心した。みんな基本的に真面目で良い人なんだなあと。
僕なんか、はてなの近藤さんが「ギター侍」の格好をして「プロバイダ責任制限法があるから大丈夫、プロバイダ責任制限法があるから大丈夫ってみんな言うじゃなーい…」って歌ったら大爆笑が取れるのにとか、住所登録が発表された日を記念して、毎年その日には はてなユーザ全員が面白コメントを残して日記をプライベートにするというのはどうだろうとか、住所登録は「アメリカに留学中の天才女子高生(哲学が好き)」っていう設定で登録しようとか、そんなネタばかり思いついてしまう。
「hotsumaのURLメモ。」も移転?
_ [ネット] はてなの Cookie が洩れると個人情報も洩れる
はてなの Cookie が洩れると個人情報まで洩れてしまうね、という話。
はてなの Cookie の問題点については今年の4月に書いた。手短にまとめるとはてなの Cookie は永久不変だから色々問題があるねとなる。
さて、今回はそれとは別の話。はてなにログインした状態で
https://www.hatena.ne.jp/sslregister?mode=change
へアクセスすると、ユーザの個人情報が表示される。というわけで、はてなユーザの Cookie を盗んでブラウザにセットして上のアドレスへアクセスするとユーザの個人情報が見れてしまうわけですね。
これはちょっと恐いなあ。
例えば、amazon の場合はサインインした状態でもアカウントサービスで本の届け先の住所などを変更する時には、もう一度メールアドレスとパスワードを入力する必要がある。このように個人情報へのアクセスにはセッション情報を含んだ Cookie だけじゃなくて ID とパスワードが必要なようになっている。
暗号化されていない経路でやり取りされて第3者にも盗み見可能な Cookie だけで認証を素飛ばして個人情報を表示する現在のはてなの仕様はおかしい。さらにはてなの永久不変な Cookie はこの種の危険性を無駄に増幅している。
■訂正
現在Cookieの値は、ログインを数回行うごとなどに変更しておりますので、不変ではございません。
とのことで はてなの Cookie は永久不変ではなくなったそうです。
_ [Ruby] 1.8.2 preview3 リリース
ミラー。
_ [ネット] はてなの Cookie
上で書いたことに対する一番簡単な対処は、はてなにログインした時に2種類の異なる Cookie がセットされるようにすればいい。ひとつは従来の Cookie。もうひとつは異なる値をもった Secure フラグを立てた Cookie。Secure フラグを立てた Cookie は通信路が SSL/TLS で保護されている時のみクライアントからサーバに送られる。
Set-Cookie: rk="334236aec4906c6175ffceea7af1cbd8"; Version="1"; Path="/";
Domain=".hatena.ne.jp"; Max-Age="315360000"
Set-Cookie: rk="9f48c911ab6ee2a8988d2c1d2e5948b7"; Version="1"; Path="/sslregister";
Domain="www.hatena.ne.jp"; Secure
こんな感じ。従来の日記やアンテナの編集のための認証には従来どおり上の Cookie を用いる。このとき通信路は保護されていないので下の Cookie がサーバに送られることはない。
https://www.hatena.ne.jp/sslregister へのアクセス時には上下の Cookie が二つともクライアントからサーバに送られる。下の Cookie を個人情報を表示するかどうかの認証に使う。下の Cookie は Max-Age を設定していないのでブラウザを終了すると同時にブラウザから消去される。
Secure フラグを立てた Cookie は生まれてから消去されるまで保護された通信路しか通らないので、第3者から盗み見られることがない。
- 439 http://blog.lucanian.net/archives/50823597.html
- 45 http://tdiary.ishinao.net/
- 26 http://blog.lucanian.net/archives/2006-10.html
- 22 http://unixluser.org/diary/
- 16 http://terminal.jp/
- 15 http://i-know.jp/cookie.cgi
- 10 http://www.cozy.cx/chaser/
- 9 http://www.h4.dion.ne.jp/~sube2/
- 9 はてなアンテナ[svnseeds]
- 8 はてなアンテナ[kono]
- 6 http://d.hatena.ne.jp/sugio/
- 5 http://i-know.jp/nabesin/
- 5 http://d.hatena.ne.jp/sasada/
- 5 http://d.hatena.ne.jp/kowagari/
- 5 http://blog.lucanian.net/
- 5 はてなアンテナ[matsuo]
- 5 はてなアンテナ[ima]
- 4 http://i-know.jp/kanou/
- 4 http://d.hatena.ne.jp/hatecha/
- 4 はてなアンテナ[whiromatsu]
- 4 はてなアンテナ[vsnprintf]
- 4 はてなアンテナ[takanabe]
- 4 はてなアンテナ[s_sawada]
- 4 はてなアンテナ[kzslim]
- 4 はてなアンテナ[honeybe]
- 4 はてなアンテナ[chomo]
- 4 はてなアンテナ[Kira]
- 3 http://unyou.members.ne.jp/tdiary/
- 3 http://su.que.jp/eskizy/index.cgi?Wikiにおけるカテゴライズ
- 3 http://i-know.jp/kenjiro_n/
- 3 http://arika.org/smdr/
- 3 はてなアンテナ[zokkon]
- 3 はてなアンテナ[wtakuo]
- 3 はてなアンテナ[tocky]
- 3 はてなアンテナ[seigi]
- 3 はてなアンテナ[rjj]
- 3 はてなアンテナ[joao]
- 3 はてなアンテナ[g2qo]
- 3 はてなアンテナ[another]
- 3 はてなアンテナ[Objet]
- 3 はてなアンテナ[Nabetani]
- 3 はてなアンテナ[GridBug]
- 2 http://www.hatena.ne.jp/iwashi?mode=detail&iid=293...
- 2 http://i-know.jp/yn-4bit/
- 2 http://i-know.jp/gmax
- 2 http://i-know.jp/coke/
- 2 http://i-know.jp/Joao/
- 2 http://d.hatena.ne.jp/smoking186/