[続報]メルカリが個人情報流出で新情報、実際は「有効期限0秒のキャッシュ」
メルカリは2017年6月27日、メルカリWeb版での個人情報流出に関して新たな情報を同社の技術ブログで公開した。CDNのキャッシュの動作について、CDNプロバイダーと仕様について確認し検証した結果だという。同月26日までの説明とは一部異なっている点があり、ブログエントリを加筆修正した。 メルカリは当初、「Expiresヘッダーが過去の日付であっても、Cache-Controlヘッダーが存在している場合、Expiresヘッダーの情報は考慮されない仕様になっていた」と説明していた。しかし、この内容が正確ではなかった。 正確には、Expiresヘッダーは、Cache-Controlヘッダーにmax-age(キャッシュの有効期限を設定するキー)またはs-maxage(共有キャッシュの有効期限を設定するキー)がないときに機能していた。ただし、Expiresヘッダーに過去の日付が指定されていた場合は、
![[続報]メルカリが個人情報流出で新情報、実際は「有効期限0秒のキャッシュ」](https://cdn-ak-scissors.b.st-hatena.com/image/square/2ff855a54e63ec7bc3b6af47ae4a4e5ee4ad47a6/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fnews%2F17%2F062701776%2Ftopm.jpg%3F20220512)
CDNとの付き合い方 – cat /dev/random > /dev/null &
最近何かと話題なCDNですが、そもそもCDNってなんだろう・・・どんなことに使えるんだろう?的なことを書いてみようと思います。 一応先に言っておくと、私はCDN業者に所属したことないのであくまでも利用者として見た時の話を書きます。 また、私の考えであり、様々なワークロードがあるなかでこれがすべてではありませんので、こんな考えもあるんだなぁぐらいに思ってもらえると助かります。 そもそもCDNってなんだろうか そもそもCDNはContent Delivery Networkの略であってCache Delivery Networkの略ではありません。 要はコンテンツをクライアントに対して高速・効率的に配信するためのネットワークです。 良くCDNといえばその成り立ちからキャッシュというイメージはありますが、重要な要素の一つではあるもののCDNの全てではありません。 さらに言えばAkamaiのInt
メルカリの個人情報流出、陥った「no-cache」の罠
フリーマーケットサービスのメルカリで個人情報が流出する事故が起こった。iOS/Androidアプリ版ではなくWebアプリ版で起こった。あるユーザーが自分の情報を表示しようとすると、他のユーザーの情報が表示されてしまうというものだ。 第三者の情報を閲覧できる状態になっていた可能性があるユーザーは5万4180人。このうち、住所・氏名・メールアドレスが見える状態になっていたユーザーは2万9396人だという。 第三者の情報を閲覧できる状態になっていた可能性があるユーザーでも、特定の条件を満たさなければ、実際には住所・氏名・メールアドレスが見える状態にはならなかったという。メルカリは、そうした条件には二つのケースがあるとしている。 第1のケースは、障害が発生した2017年6月22日の9時41分から15時5分の間にWeb版メルカリにログインしてアクセスし、そのときに閲覧したページがキャッシュサーバーに
CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog
本日コーポレートサイトでお知らせした通り、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明して修正が完了しております。また、個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡させていただきました。 お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。 本エントリでは技術的観点から詳細をお伝えさせていただきます。 2017年6月27日 CDNのキャッシュの動作について、CDNプロバイダと仕様について確認し検証を行いました。その結果一部記述に実際と異なる箇所があり、加筆修正いたしました。 概要 メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。 その際本来キャッシュされるべきでない
AWSにおける静的コンテンツ配信パターンカタログ(アンチパターン含む) | DevelopersIO
独自ドメインSSLだとCloudFront使えないから横綱無理だよねー、という話がありました。うん、確かにそうでした、執筆時点では…! 本日2013/06/12、CloudFrontの独自ドメインSSL対応が発表(英語・日本語)されましたので、みなさん揃って横綱になればいいと思います。 よく訓練されたアップル信者、都元です。AWSを利用して構築した環境から、クライアント(モバイルやブラウザ等)に対してHTTPを使って静的なコンテンツを配信したいケースって、多いですよね。多いというか、むしろどんなシステムにも多かれ少なかれ、静的なコンテンツ配信があると思います。 スケーラビリティ・柔軟性・可用性・パフォーマンス・コスト 静的なコンテンツというのは、コンテンツをリクエストに応じて生成したりせず、完成品としてのファイルが手元にある状態です。例えば、多くのWebシステムにおいて、ほとんどの画像やJ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CloudFrontをかますとキャッシュなしのAPIコールでも速くなるようだ : sonots:blog
