pslaboが試したことの記録

はてなダイヤリーからはてなブログに引っ越してきました

この日記は現在実行中の減量記録を含む個人的なメモとして始めましたが、最近はコンピュータやガジェット、ハック、セキュリティネタのほうがメインになっております。

iPad3のSIMロックに関する考察とSIM下駄による解除の試みはSoftbank版iPad3にiPhone用のSIM下駄を履かせてみるにいろいろ書いてます。

ポストした内容のカテゴリー分けがちゃんと出来てないので、過去記事を探したい方はお手数ですが検索で探してみてください。


Webメールを使うときはリファラ漏れにもっと気をつけようよ、という話

先の desknet's の件、desknet's の中の人がこのページを見た形跡があるっぽいので、iアプリ版についても言及してみました。

このように考えた理由ですが、8/9 付けの記述内容について、
あるリファラを伴ってアクセスされて来た方が少なくとも2名いらっしゃるのですが、そのリファラに含まれる文字列は、desknet's の可能性が非常に高いからです。

だからといって、その2名が desknet's の中の人とは限らず、desknet's のユーザの可能性もあります。

しかし、いずれにしても注意しなければならないことは、ウェブメールからのリファラの送出は避けたほうがよいのでは、ということです。

ウェブメールからのリファラの送出については、かなり昔にセキュリティリスクとして(リファラに認証用のトークンが含まれている等の件で)、ウェブアプリケーションの制作サイドには深く浸透していると思うのですが、おそらく、現状で対処可能なことは、リファラが漏れても、その内容からでは不正なアクセスが成功しないようにウェブアプリケーションをつくり込む、ということくらいかと思います。

なので、ユーザ自身は意図しないリファラがむやみに外部に露出しないように注意するほうが良いと思います。(FireFox で No referrer を使うなどして)


実はこの件は、過去に書いた野口関係の記事にも関連する話があります。

過去に書いた野口関連の記事に、野口英世と関連の深い医科大学からの閲覧が行われた形跡があるからです。こちらで把握できるのはリファラだけで、それ以上のことは全くわからないわけですが、あるリファラが、その医科大学で用いられていると思われるウェブメールのURLでした。しかも、そのURLには、そのアカウントの利用者と思われる文字列も含まれていたからです。

したがって、その閲覧を行った方は、少なくとも、その時点において、その医科大学の内部の人間であり、私が書いた野口関連のURLが記載されたURLをメールで受信し、そのURLをクリックしてページの閲覧を行った、というところまでは事実として読み取れるわけです。

ちなみに、リファラのURLに含まれる文字列より、その大学のだれが閲覧したのか、というところまでは、概ね推測できそうな感じです。お医者さんは論文発表するから、インターネット上で氏名が公開されているわけですから、ウェブメールを使う場合はいろいろ気をつけないと、誰がそのページを見たのか、ということを自ら喧伝することになりかねなせんし、注意が必要かと。

まあそんなわけで、ウェブメール(本当はウェブメールだけではなく、イントラネットのウェブサーバ上に記載の内容から、外部へのリンクをたどるときも同じですが)を利用するときは、リファラで送出される内容に注意すべきです。