脳log[20141112]

2014年11月12日 (水) googleで唯一ログインして利用してるサービス「Google ウェブマスター ツール - ダッシュボード」■いつからかログオフが(スクリプト無しで)できなくなったので、google.comからの Cookieをすべて削除することでログオフしている。■その後しばらくして気がついたときにはぎょっとしたのだけど、Firefoxから行った google検索がログイン状態(検索人の管理下にある URLが知られた状態)で行われていた。検索結果を返しているドメインは google.co.jp。■どういうからくりか知らないけど、google.comにログインしたら google.co.jpにもログインしていたから、自分でログオフしようと思ったら google.comの Cookieを削除するだけでは足りなくて google.co.jpの Cookieも削除しましょうってこと。■ただの成り行きではあったけど、サイトが用意したログオフボタンをクリックして「ログオフします」と意思表示をし、サイトが「ログオフしました」と返したところで、どうしてそれを信用できようか。HTTPステータスコード 200でページが見つかりませんと表示することもできるってこった。■@2015-03-28 実際にログアウトの不備ってあるのだね。「キャッシュ制御不備の脆弱性にご用心 | 徳丸浩の日記」ログアウトはクライアント側ユーザー側の操作であるべきだという認識を新たにした。とはいえサーバーの方でもセッションを破棄してもらわないとなりすましのおそれがあるのか。重要な操作の前に必ず認証を要求するようになってたらいいけど。