タグ

2008年9月30日のブックマーク (1件)

  • 楽天のメルマガ個人情報流出問題の犯人を推理する (ラボブログ)

    ラボ神部です。 今日、楽天市場のメルマガ登録確認画面から個人情報が流出しているらしいという話が話題になっていますが、流出経路が何とも不可解。そこで、可能性をいくつか挙げてみて、下手な推理をしてみようかと思います。 そもそもの原因は そもそもの原因は、Google のロボットのように、メルマガの来のセッション所有者以外が、メルマガ登録の画面遷移の跡をたどっているところにあります。 URL で言うと https://emagazine.rakuten.co.jp/ns?act=chg_rmail_delete_conf&k= の act= のあとがコマンド、k= のあとの部分がセッション ID になっているのは明らかです。楽天がどのようなプラットフォームの上で動いているのかわかりませんが、PHP なら php.ini で session.use_trans_sid オプションを ON にする

    tokuhirom
    tokuhirom 2008/09/30
    URLには、どのメルマガか、という情報だけを埋めておき、URLにアクセスした時点でログインさせるべき。でFAだとおもうのですが。