2007年11月30日(金) [過去の今日]
#1 はてなブックマークウィジェットは幅ひろすぎ
はてなブックマークウィジェットが公開 されてたのでさっそく貼ってみた。
が、ちと幅広すぎやしないか。はみだしとる。まあうちのサイドバーがせまめなのもあるのかもしれんが……。
自分でスタイル書けばいいのかもしれんけどんな暇ないしなあ。
(@287)
#2 有名人を腐して優越感に浸りたいのはわかるが、それが問題の核心から目を逸すことにもなる
秋のDK収穫祭 という記事。
例の dankogaiのTwitterアカウント乗っ取り事件 の詳細レポで、パスワードが「dankogai」だったってことが書かれてる。
んでまあTwitter程度に複雑なパスワードかけてねえなんてことはあってもおかしくないと思ったので、別にどうでもいい話、というのが俺の感想。
けどねー、これがあんまりクローズアップされるのもちょっとな、と思うんだよね。
ブックマークコメント でid:dankogai本人が それがForgeされた<後>のPWである可能性を誰も指摘していない。 とコメントしてるのにみんな気付いてるだろうか。
今回の問題は cookieだけで制御してるとセッションID抜かれただけで終りってやばくないっすかという話であって、パスワードが簡単だったからいけないとかいう話じゃない。
とはいえIPアドレスやUAとの一致も見るとなると、前者は無線LANやモバイル端末で若干面倒なことになるし、後者は こういうの 使うときに若干不便かな、という気がする。UAなんてパターン少ない上に偽装は楽だし、効果少ないよな。
それから複数セッションを保持できるというのも問題。というかこっちが核心なんだけども。複数セッション保持できると、セッション盗まれててても気付けないし、パスワード変更したところでセッションの有効期間は操作されちゃう。
1アカウント1セッションであるべきなんだけども、これも端末移動してるとめんどいんだよな。特にtwitterなんかは携帯電話やiPod touchなんかでもアクセスしたりするわけで。
あんまりパスワード入力が頻出すると簡単なパスワードを設定されやすいし、cookieだけで、というのもしょうがないかという気はするのだが……。
もちろんサービスによって違うだろ。ニコニコ動画みたいなサービスはあちこちの端末で見たりはあんまりしないだろうから、IPアドレス+セッションIDでもあんまり困らないと思う。twitterみたいなあちこちで使うものはちょっと問題。
かといって乗っ取られたまま何もできないってのもねえ。
さてはて、どのへんが落しどころなんだろね。俺もウェブアプリ書くのでヒトゴトじゃないのだよな。
(@505)