2005年10月14日(金曜日)
他人の会員情報が見える系
「小田急電鉄、特急券予約サイトで他人の会員情報が閲覧できてしまうトラブル (internet.watch.impress.co.jp)」というお話。見出しだけ見るとセッションの競合とかテンポラリファイルがかぶったとかいう話を想像しますが、良く読むと……。
発生した事故は、複数の会員が同時にログインしている場合に、ある会員がいったんサービスからログアウトして、Webブラウザを閉じずに再度ログインした場合に、その会員の予約情報などが別の会員のWebブラウザに表示されてしまう場合があったというもの。
一度ログアウトして、Cookie をクリアせずにもう一度ログインフォームからログインしたときに他人の情報が見えるということのようで……なんかこれ、私が以前に経験したことのあるパターンに似ていますね。問題の「ロマンスカー@クラブ (www.web-odakyu.com)」のページにアクセスして、ログインフォームの form要素開始タグを見るとこんな感じでした。
<FORM METHOD="post" ACTION="https://www.web-odakyu.com/servlets/odq02/getcontent/20893755364992306/send/request">
リロードしてソースを見たら、今度はこうなっていました。
<FORM METHOD="post" ACTION="https://www.web-odakyu.com/servlets/odq01/getcontent/7513952029298192/send/request">
何が起きたのか、何となく想像できるような気がしました。
- 「他人の会員情報が見える系」へのコメント (1件)
関連する話題: セキュリティ
主文後回し
「主文言い渡しを後回し 連続リンチ殺人事件控訴審判決 (www.asahi.com)」。この見出し……主文が後回しになることの意味を知らない人も多いような気がしますが、かといって迂闊なことは書けないですし、微妙なところですね。
関連する話題: 法律
- 前(古い): 2005年10月12日(Wednesday)のえび日記
- 次(新しい): 2005年10月24日(Monday)のえび日記