携帯Twitter開発ブログケイスです。 ユーザの方から、先ほどセキュリティホールの可能性があることを教えていただきました。 「電脳ニュース」のリンクに、ドコモの携帯以外の端末から見たときは不必要な暗号化された セッションコードを受け渡してしまっていました。 このセキュリティホールそのものは、パスワードを奪われたりするものではありませんが、第三者が リファラーでそのURLを見てしまうと、それを使ってその人になりすまして書込ができてしまうというものでした。 この問題について、以下の対処を行いました。 (1)ドコモの携帯端末以外でのセッションコードの引き継ぎをやめる (ドコモの端末はリファラーが残らない上、端末IDの取得方法が特殊なため、 セッションコードの発行が必須になります。ただし、ドコモ端末にはリファラーが のこらないのでセキュリティホールにはなりません) (2)既存のリファラー対策として、暗号化キー(非公開)の変
