棚からパルチャギ

日々の雑記、ニュース拾いとか

2007. 11. 29

複数ログインのセッション管理
XSSや中間者攻撃ははともかくとして、CSRFは被害者のCookieを流用しているだけで、第三者に奪われているわけではないから、 Cookieが信用できないというのは前提を破綻させているような気がするのですが。

そもそもクライアントの一意性を保証するという仕組み自体が技術的に困難なわけで、 内容が漏洩しない限りそれなりの信頼性で一意性が保証されるCookieのセッションIDに対して、 UserAgentやIPアドレスのように普遍的でないものを組み合わせたところで、セキュリティの強度は本質的には変わらないと思うのです。 …などと、にわか知識で言ってみるテスト。


それはそれとして、パスワード変えたタイミングなんかで既存セッションを破棄するような仕組みって、 複数ログイン可能なWebサービスで、そこまで対応されているものは少ないような気がしますね。 あるユーザでログインしているセッションを全て破棄するということは、 ユーザとセッションIDの対応をシステム側で把握している必要がありますけど、 単純にログインの仕組みだけを考えると別に必要というわけではないので、そこまでは考慮されていないんじゃないかと思います。

自分が使っているものだと、Gmail/Google Reader/del.icio.us/はてな/LDRあたりで試してみたけど、 パスワード変更しても既存セッションはログオフされずにそのまま利用可能でした。 Googleに関してはパスワード変更後にアカウント画面にアクセスすると再入力を求められますけど、 直接Google Readerなんかにアクセスした場合は、別のブラウザでパスワードが変更されていても普通に使えるようです。

ちなみに、この仕様だとセッションIDではなく本当にパスワードが漏れている場合は、 悪意のある第三者が正規ユーザをログオフさせることができるので怖いと言えば怖いですけど。 どのみち変更されてしまったら、パスワード変更できなくなるので危険度としては変わらないのかな。 (パスワードは推測されにくい文字列で厳重に管理を><)

複数ログインは利便性を考えると欲しい仕様ではありますけど、サービスの提供側としては頭の痛い問題ですね…。
雑記
Greasemonkeyスクリプトを量産している人は、 スクリプトを書けることが凄いというよりも、 何をすれば世の中が良くなるかを感覚で理解できている気がしてまぶしい。 エロアニメとか見てる暇があったら、塵みたいな幸せ一つでも生み出せればいいのにと思うんですが、 DMMのラインナップは充実しすぎだと思います。

ThunderbirdでURLを右クリックしたときに「偽装サイトのURLを報告」とか見慣れないものがあったので何かと思ったら、 「フィッシングメールを報告」の表記が変わったんですね。なんだか分かりづらくなってるような???
今日の浪費
「○本の住人」2巻。「GUNSLINGER GIRL」9巻。
漫画も未読が積まれてきたような気がします。 下手すると年末年始は無職になっているので、サーバの心配とかしないでゴロゴロしながら本に囲まれるという幸せを満喫するしか。

Amazonさんは便利だけど、やっぱり本屋に寄って新刊を眺めたり本棚を物色する楽しさには代えがたいですね。 会社帰りの大型書店に毎日のように寄っては、何かしら買ってしまうコンビニ症候群のような習慣は、 経済的にも部屋の状況的にも自重すべきだとは思うんですが、なかなかやめられないです。