キャッシュからダメな情報が見えちゃうよ! 見逃しがちなWebアプリの落とし穴:“典型的やられサイト”で学ぶセキュリティのワナ(2/2 ページ)
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。
忘れがちな「なんちゃってログアウト」
荒井 なるほど……。ちょっと質問なんですが、さっき「rnd」から始まる乱数を消したのには何の意味があるんですか?
上野 いい質問だね。これ、俗に「キャッシュバスター」といって、URLをアクセスのたびに変えて、さっきみたいにURLからデータを盗み見れないようにしている。
荒井 すごい! じゃあ、さっきの僕の実装も問題なかったんじゃ……?
上野 まぁでも、文字列が漏れてたら意味ないからね。難しいとは思うけど、推測される可能性もある。基本的にはキャッシュコントロールでキャッシュしない設定にしていた方が安全だと思うよ。
荒井 そ、それは確かに……。
上野 あと、キャッシュ関係であるあるな「なんちゃってログアウト」についても教えておこうか。
荒井 なんちゃってログアウト。
上野 単純なんだけど、ログアウト画面をキャッシュしちゃうと起こる現象だね。実際にはログアウトしてないのに、キャッシュが表示されるからログアウトしているように見えてしまう。
荒井 き、気づいてませんでした……。気をつけます。
上野 ぜひそうして! というわけで、長かった研修は終了だね。今回学んだことを生かして、「あるあるミス」のないようにこれからも頑張ってください。
荒井 はい、頑張ります!
キャッシュするかしないか、適切な使い分けを
「キャッシュから情報が漏れる例はたまに見られる。例に出しているのはToDoなので、正直無理にキャッシュを使う必要もないかもしれないが、ECサイトなどだと話は別。カタログや商品ページはキャッシュして、マイページはキャッシュしないといった具合に使い分けたいこともあるので、そういったときにキャッシュコントロールを使う」と徳丸さん。
また、もう一つの「なんちゃってログアウト」もありがちなミスかつ「気づいていない人が多いのでは」(徳丸さん)という。キャッシュサーバを使うときには、忘れずにチェックすべきだろう。
関連記事
- 「Googleドキュメント」のAI文法チェッカーが正式版に
Googleが、G Suiteの「Googleドキュメント」にAI採用の文法チェック機能を追加する。スペルチェックに加え、文法的な誤りを指摘する。Google翻訳の機械翻訳技術を応用した。 - え? 同じIDで登録できる? コンビニ証明書で話題「同時処理」の危険性
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 - 対策できてる? Webアプリの「アップロード機能」に潜む、見落としがちなワナの数々
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 - え? PHPファイルを登録できるのはまずいでしょ…… Webアプリの「アップロード機能」に潜む“あるある”ワナ
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 - 新人の作ったWebアプリが穴だらけ!? ログイン画面に潜むセキュリティの”あるある”ワナ
新人の作ったWebアプリが穴だらけ!? “典型的やられサイト”で学ぶセキュリティのワナ
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.