狐の王国


2007年11月30日(金) [過去の今日]

#1 はてなブックマークウィジェットは幅ひろすぎ

はてなブックマークウィジェットが公開 されてたのでさっそく貼ってみた。

が、ちと幅広すぎやしないか。はみだしとる。まあうちのサイドバーがせまめなのもあるのかもしれんが……。

自分でスタイル書けばいいのかもしれんけどんな暇ないしなあ。

(@287)

この記事のURI

#2 有名人を腐して優越感に浸りたいのはわかるが、それが問題の核心から目を逸すことにもなる

秋のDK収穫祭 という記事。

例の dankogaiのTwitterアカウント乗っ取り事件 の詳細レポで、パスワードが「dankogai」だったってことが書かれてる。

んでまあTwitter程度に複雑なパスワードかけてねえなんてことはあってもおかしくないと思ったので、別にどうでもいい話、というのが俺の感想。

けどねー、これがあんまりクローズアップされるのもちょっとな、と思うんだよね。

ブックマークコメント でid:dankogai本人が それがForgeされた<後>のPWである可能性を誰も指摘していない。 とコメントしてるのにみんな気付いてるだろうか。

今回の問題は cookieだけで制御してるとセッションID抜かれただけで終りってやばくないっすかという話であって、パスワードが簡単だったからいけないとかいう話じゃない。

とはいえIPアドレスやUAとの一致も見るとなると、前者は無線LANやモバイル端末で若干面倒なことになるし、後者は こういうの 使うときに若干不便かな、という気がする。UAなんてパターン少ない上に偽装は楽だし、効果少ないよな。

それから複数セッションを保持できるというのも問題。というかこっちが核心なんだけども。複数セッション保持できると、セッション盗まれててても気付けないし、パスワード変更したところでセッションの有効期間は操作されちゃう。

1アカウント1セッションであるべきなんだけども、これも端末移動してるとめんどいんだよな。特にtwitterなんかは携帯電話やiPod touchなんかでもアクセスしたりするわけで。

あんまりパスワード入力が頻出すると簡単なパスワードを設定されやすいし、cookieだけで、というのもしょうがないかという気はするのだが……。

もちろんサービスによって違うだろ。ニコニコ動画みたいなサービスはあちこちの端末で見たりはあんまりしないだろうから、IPアドレス+セッションIDでもあんまり困らないと思う。twitterみたいなあちこちで使うものはちょっと問題。

かといって乗っ取られたまま何もできないってのもねえ。

さてはて、どのへんが落しどころなんだろね。俺もウェブアプリ書くのでヒトゴトじゃないのだよな。

(@505)

この記事のURI

最近の記事

以上、1 日分

タイトル一覧


カテゴリ分類
Powered by hns-2.19.8, HyperNikkiSystem Project

過去にこの日記が置いてあったcgi.misao.gr.jpは廃止されました。それによって記事へのURIが変わってしまっています。cgi.misao.gr.jpをwww.misao.gr.jpと置き換えるだけで同じ記事にアクセスできるはずです。

Sugano "狐志庵" Yoshihisa(E) @ 美紗緒ネットワーク <koshian@misao.gr.jp>
日記管理ページ