国民宿舎はらぺこ 大浴場

• さくらインターネットの会員メニュー画面のセッション情報はログアウトしても1年たっても消えない件 (Web屋のネタ帳 さま)

取り急ぎ。ログアウトした後で、もう一度ログインしなおしてみてください。同じ ID が cookie に書き込まれるはずです。で、パスワードを変更してから、再度ログインしてみてください。ID が変更されているはずです。

誰かに試してみてほしいこと： cookie の内容をフロッピーなどの持ち歩き可能なメディアにコピーし、それをまったく別の場所 (自宅→会社とか、自宅→ネットカフェとか) にある端末のブラウザのクッキーに書き写した上で、認証なしにアクセスが可能かどうか。要するに、さくらの会員メニュー画面で cookie に書いている ID の種に、IP アドレス等の端末を特定する情報が含まれているかどうか。これでアクセス不可能 (認証が必要) ならば、それほど問題は無いように思います。

出かける用事があったので本当にとり急ぎだったのですが、微妙に勘違いしていたっぽいです (汗。上記は https://secure.sakura.ad.jp/rscontrol/ にアクセスしようとしたときの話で、 Web 屋さんが指摘していたのは https://secure.sakura.ad.jp/menu/ にアクセスしようとしたときの話でした。こちらはログインしなおすたびに値が変わるようなので、確かにセッション ID の一種であるように見えます。再度検証しなおしてみました。

1. ログインしなおしてからブラウザを閉じ、ログインしなおす前の SID を用いてアクセスしたところ、ログイン画面は表示されませんでした (Web屋にて既に指摘済み)。
2. パスワードを変更し、変更したパスワードでログインしなおした後で、1 で用いたのと同じ SID (すなわち、パスワード変更前に発行されていた SID) を用いてアクセスしたところ、やっぱりログイン画面は表示されずに認証通過してしまいました。

あとは、別のネットワークからこの SID を用いてアクセスした場合に、認証通過してしまうかどうかですが。。。どうだろうなぁ?

いずれにせよ、この SID ってのが更新されればされた回数だけ脆弱になるのは確か (理論的にはね)。しかも無限に保存されるってことはそれだけ DB のディスクスペースが圧迫されちゃうことにもなるんだろうから (^_^;、早いうちに修正されることが望まれますね。

サブジェクト変更しますた。