キャッシュからダメな情報が見えちゃうよ！ 見逃しがちなWebアプリの落とし穴：“典型的やられサイト”で学ぶセキュリティのワナ（2/2 ページ）

[吉川大貴，ITmedia]

忘れがちな「なんちゃってログアウト」

荒井　なるほど……。ちょっと質問なんですが、さっき「rnd」から始まる乱数を消したのには何の意味があるんですか？

上野　いい質問だね。これ、俗に「キャッシュバスター」といって、URLをアクセスのたびに変えて、さっきみたいにURLからデータを盗み見れないようにしている。

荒井　すごい！　じゃあ、さっきの僕の実装も問題なかったんじゃ……？

上野　まぁでも、文字列が漏れてたら意味ないからね。難しいとは思うけど、推測される可能性もある。基本的にはキャッシュコントロールでキャッシュしない設定にしていた方が安全だと思うよ。

荒井　そ、それは確かに……。

上野　あと、キャッシュ関係であるあるな「なんちゃってログアウト」についても教えておこうか。

荒井　なんちゃってログアウト。

上野　単純なんだけど、ログアウト画面をキャッシュしちゃうと起こる現象だね。実際にはログアウトしてないのに、キャッシュが表示されるからログアウトしているように見えてしまう。

荒井　き、気づいてませんでした……。気をつけます。

上野　ぜひそうして！　というわけで、長かった研修は終了だね。今回学んだことを生かして、「あるあるミス」のないようにこれからも頑張ってください。

荒井　はい、頑張ります！

キャッシュするかしないか、適切な使い分けを

　「キャッシュから情報が漏れる例はたまに見られる。例に出しているのはToDoなので、正直無理にキャッシュを使う必要もないかもしれないが、ECサイトなどだと話は別。カタログや商品ページはキャッシュして、マイページはキャッシュしないといった具合に使い分けたいこともあるので、そういったときにキャッシュコントロールを使う」と徳丸さん。

　また、もう一つの「なんちゃってログアウト」もありがちなミスかつ「気づいていない人が多いのでは」（徳丸さん）という。キャッシュサーバを使うときには、忘れずにチェックすべきだろう。