水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 他人の会員情報が見える系

他人の会員情報が見える系

2005年10月14日(金曜日)

他人の会員情報が見える系

小田急電鉄、特急券予約サイトで他人の会員情報が閲覧できてしまうトラブル (internet.watch.impress.co.jp)」というお話。見出しだけ見るとセッションの競合とかテンポラリファイルがかぶったとかいう話を想像しますが、良く読むと……。

発生した事故は、複数の会員が同時にログインしている場合に、ある会員がいったんサービスからログアウトして、Webブラウザを閉じずに再度ログインした場合に、その会員の予約情報などが別の会員のWebブラウザに表示されてしまう場合があったというもの。

一度ログアウトして、Cookie をクリアせずにもう一度ログインフォームからログインしたときに他人の情報が見えるということのようで……なんかこれ、私が以前に経験したことのあるパターンに似ていますね。問題の「ロマンスカー@クラブ (www.web-odakyu.com)」のページにアクセスして、ログインフォームの form要素開始タグを見るとこんな感じでした。

<FORM METHOD="post" ACTION="https://www.web-odakyu.com/servlets/odq02/getcontent/20893755364992306/send/request">

リロードしてソースを見たら、今度はこうなっていました。

<FORM METHOD="post" ACTION="https://www.web-odakyu.com/servlets/odq01/getcontent/7513952029298192/send/request">

何が起きたのか、何となく想像できるような気がしました。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト