良い分析。「しかし根本的なところを見直すとすれば、やはりメルマガ解除の仕組みのセッション管理についての扱いに配慮が必要だったかのではないでしょうか。」
楽天のメルマガ個人情報流出問題の犯人を推理する (ラボブログ)
あとで
「ユーザが自分のセッション情報を残したまま(ソーシャル)ブックマークしたところに突破口が生まれてしまった」
「下手な推理」を前置きにした考察。
セッションIDを毎回生成してないってこと?
【(追記5 犯人はソーシャルブックマーク?)】
https
URLには、どのメルマガか、という情報だけを埋めておき、URLにアクセスした時点でログインさせるべき。でFAだとおもうのですが。
どんなに「URLで(セッション管理)いけそう」でも、色々出てくるね・・・・・・Javascriptに続いてCookieも復権するのかな
対策するべきなのは楽天だろうが、どうするべきなんだろ。Robots.txtも紳士協定だし、セッションIDの有効期間も程度問題だから、セッションIDをURLに含める方式を止めるしかないかもしれん。Cookie使えば済む話だし。
セッションID つきURL の危険性。そこからクローラがリンクをたどる可能性がある。そのURL をオンラインブックマークで登録>クローラがたどれる状態にということもありえる
良い情報。全貌はまだ不明だが、現時点でソーシャルブックマークが原因では?、との事。/楽天メールマガジン情報漏洩。/メルマガ
仮にソーシャルブックマークされたとしても、そういう情報を表示するページはmetaヘッダーでNOINDEX,NOARCHIVEを出しとくもんじゃね
「楽天がまたやらかしたw」とかただ言ってる人よりはよっぽどまともな推理。ツール系の仕業じゃないとするとふりだしに戻って楽天側の問題の線もあるだろうけど。
ところどころ論理が変なとこが気になる
某っていうと「はてな」?かと思っちゃうよ
追記5まで読んだ。面白い。まさかYahooブックマーク!?
読む
本来漏れないはずのurlがどんどこ収集されてるのはたぶんツールバーor先読みツール系な気がするけど、だれか検証してみないかな。(マイナーキーワード)の楽天(or Amazon)検索結果がよくindexされてることに鍵がありそう
どうやら原因が特定できそうなところまでいってるもよう?
楽天殺人事件の真相を名探偵が解き明かす!(ウソ)
楽天のメルマガ個人情報漏洩推測
楽天のメールマガジンからの個人情報がクロールされてた話。
犯人というよりは原因だろう
素人目にはさっぱり分からないが自衛の為にブクマ
原因判明前の推論。
横から補足すると「session.use_trans_sidが1でクッキーが使えないブラウザの場合」(≒実際的には大半がケータイのはず)だが、細かいことゴタゴタ考えんとsession_use_only_cookiesを1にしろ禿という話。ケータイは去れ。
良い推理。 続編に期待。
楽天のメルマガ登録・解除関連の情報流出問題のプロセスをいくつか検討してみました
[PR]1位も狙える?ブログランキング出会いの広場
はてなブックマークの中から「これはすごい」エントリーを取り上げて、Digg風に表示したサイトです。より人の欲を満たすこれはひどいバージョンもあります。
はてブで「これはすごい」タグを付けると投票としてカウントされ、コメントを書き込むとコメントとして反映されます。はてな認証APIによる投票にも対応しています。
コメント
良い分析。「しかし根本的なところを見直すとすれば、やはりメルマガ解除の仕組みのセッション管理についての扱いに配慮が必要だったかのではないでしょうか。」
楽天のメルマガ個人情報流出問題の犯人を推理する (ラボブログ)
あとで
「ユーザが自分のセッション情報を残したまま(ソーシャル)ブックマークしたところに突破口が生まれてしまった」
「下手な推理」を前置きにした考察。
セッションIDを毎回生成してないってこと?
【(追記5 犯人はソーシャルブックマーク?)】
https
URLには、どのメルマガか、という情報だけを埋めておき、URLにアクセスした時点でログインさせるべき。でFAだとおもうのですが。
どんなに「URLで(セッション管理)いけそう」でも、色々出てくるね・・・・・・Javascriptに続いてCookieも復権するのかな
対策するべきなのは楽天だろうが、どうするべきなんだろ。Robots.txtも紳士協定だし、セッションIDの有効期間も程度問題だから、セッションIDをURLに含める方式を止めるしかないかもしれん。Cookie使えば済む話だし。
セッションID つきURL の危険性。そこからクローラがリンクをたどる可能性がある。そのURL をオンラインブックマークで登録>クローラがたどれる状態にということもありえる
良い情報。全貌はまだ不明だが、現時点でソーシャルブックマークが原因では?、との事。/楽天メールマガジン情報漏洩。/メルマガ
仮にソーシャルブックマークされたとしても、そういう情報を表示するページはmetaヘッダーでNOINDEX,NOARCHIVEを出しとくもんじゃね
「楽天がまたやらかしたw」とかただ言ってる人よりはよっぽどまともな推理。ツール系の仕業じゃないとするとふりだしに戻って楽天側の問題の線もあるだろうけど。
ところどころ論理が変なとこが気になる
某っていうと「はてな」?かと思っちゃうよ
追記5まで読んだ。面白い。まさかYahooブックマーク!?
読む
本来漏れないはずのurlがどんどこ収集されてるのはたぶんツールバーor先読みツール系な気がするけど、だれか検証してみないかな。(マイナーキーワード)の楽天(or Amazon)検索結果がよくindexされてることに鍵がありそう
どうやら原因が特定できそうなところまでいってるもよう?
楽天殺人事件の真相を名探偵が解き明かす!(ウソ)
楽天のメルマガ個人情報漏洩推測
楽天のメールマガジンからの個人情報がクロールされてた話。
犯人というよりは原因だろう
素人目にはさっぱり分からないが自衛の為にブクマ
原因判明前の推論。
横から補足すると「session.use_trans_sidが1でクッキーが使えないブラウザの場合」(≒実際的には大半がケータイのはず)だが、細かいことゴタゴタ考えんとsession_use_only_cookiesを1にしろ禿という話。ケータイは去れ。
良い推理。 続編に期待。
楽天のメルマガ登録・解除関連の情報流出問題のプロセスをいくつか検討してみました