他人の会員情報が見える系
2005年10月14日(金曜日)
他人の会員情報が見える系
「小田急電鉄、特急券予約サイトで他人の会員情報が閲覧できてしまうトラブル (internet.watch.impress.co.jp)」というお話。見出しだけ見るとセッションの競合とかテンポラリファイルがかぶったとかいう話を想像しますが、良く読むと……。
発生した事故は、複数の会員が同時にログインしている場合に、ある会員がいったんサービスからログアウトして、Webブラウザを閉じずに再度ログインした場合に、その会員の予約情報などが別の会員のWebブラウザに表示されてしまう場合があったというもの。
一度ログアウトして、Cookie をクリアせずにもう一度ログインフォームからログインしたときに他人の情報が見えるということのようで……なんかこれ、私が以前に経験したことのあるパターンに似ていますね。問題の「ロマンスカー@クラブ (www.web-odakyu.com)」のページにアクセスして、ログインフォームの form要素開始タグを見るとこんな感じでした。
<FORM METHOD="post" ACTION="https://www.web-odakyu.com/servlets/odq02/getcontent/20893755364992306/send/request">
リロードしてソースを見たら、今度はこうなっていました。
<FORM METHOD="post" ACTION="https://www.web-odakyu.com/servlets/odq01/getcontent/7513952029298192/send/request">
何が起きたのか、何となく想像できるような気がしました。
- 「他人の会員情報が見える系」へのコメント (1件)
関連する話題: セキュリティ
