URLにユーザ名、パスワードを埋め込むことのセキュリティリスクはブラウザの問題 rfc1738で定められているように、 (scheme):(scheme-specific-part)//(user):(password)@(host):(port)/(url-path) という形で、URLにユーザ名とパスワードを記述してリソースにアクセスすることができる。暗号化通信のプロトコルであるhttpsにおいてもURL自体は暗号化されないので、このユーザ名とパスワードが漏洩する危険性が心配されると考えたが杞憂であった。 上記の機能はブラウザ側の実装によって実現されており、実際にhttpリクエストは下記のような流れになっている。 GET /cgi-bin/mllist/jsai-ann/index.cgi/html:6115 HTTP/1.1 Host: mlwww.iijnet.or.jp User