アカウント名:
パスワード:
登録されている個人情報はそれぞれ別扱いってことでしょうか。
単にサーバーサイドの作りの問題でしょ?
クライアントがPCとアプリで結果が違ったのは、今回の場合は結果論でしかないですよね?(アプリ側が通信するサーバーの更新で同じことが起きた可能性もあるはずです)
PCとスマフォアプリのどちらが安全かに関係する話でもなければ、たかだか1サービスの構造の問題で一般化するような話でもないと思います。
> アプリ側が通信するサーバーの更新で同じことが起きた可能性もあるはずです
起きるんじゃないですかね暗号通信をキャッシュ出来てしまう現状では
気を付けなければやらかしてしまうことなら再発は不可避でしょう
現場に阿呆がいるか阿呆な鶴の一声があれば簡単に起きてしまえる程度のことなのですから
# こういう開発環境が一般的じゃないといいなぁ
だから外形監視を導入するじゃん?
だから外形監視ってのが皮肉なジョークなのでは?発覚イコール流出の瞬間を観測なわけで
通信だけでなくキャッシュもクライアントごとに暗号化されていれば他人のキャッシュが流れてきても解読できんのでそうしますとかならまだマシなんだが
何のためのキャッシュかパフォーマンス的に微妙過ぎるけど流出するよりはマシみたいな
# 何を得るために何を代償にするかって大事よね
#3233248補足:常時SSL化の観点
既存の個人情報や決済部分のみの暗号通信ではHTTPSならキャッシュしないという定型処理ができたが常時SSL化により区別は気を付けて開発しないとできなくなった
キャッシュ効率の共通部分とキャッシュしてはいけない良い個人情報や決済が共にHTTPSでの通信となるためです
ならばいっそキャッシュしないかキャッシュ自体を暗号化してそのセッションでのみの効率化に留めるというパフォーマンス的には消極的だがセキュア的には正しい解もありなのでは?というちょっとした思考実験です
>キャッシュしないか>キャッシュ自体を暗号化してそのセッションでのみの効率化に留める消極的とかじゃなくてこれらのアプローチの方がよいと思う。個人情報をキャッシュの可能性がある経路で流していたことに驚いているくらい。
というかCDNっていつの間にか使われ方が変わっていたのか…静的コンテンツ配信の分散化がCDNの役割と思っていた…
静的コンテンツ配信の分散化がCDNの役割と思っていた…
いや…動的コンテンツはCDNに載る種類のものじゃないよねやっぱ。
サーバーサイドでレンダリングされたユーザー固有のコンテンツがCDNから静的htmlに見えてキャッシュされたという事かと思ってるんだけど、なんかCDNはそういう自動的にいいようにやってくれるようなもんじゃなくて、予めCDN用のコンテンツとして特定の領域に置いてあるファイルを展開するものだと思ってた。
静的コンテンツ配信の分散化がCDNの役割と思っていた…いや…動的コンテンツはCDNに載る種類のものじゃないよねやっぱ。
スラドですら DDoS 攻撃を食らう時代 [security.srad.jp] ですので、ウェブ事業者、特にメルカリのように DDoS によりアクセスできない状態になるのが致命的な直接お金が絡むサービスにおいては、DDoS 対策は必須です。今時は、CDN 利用の主目的が DDoS 対策です。
あと、昔は、htmlファイルを配信するサービスサイト example.jp には CDN を使用せず、別FQDNの imgX.cdn.example.net から 画像・JavaScript・CSS などを配信するといった方式が採用されることが多かったですが、こういっ
そ、そうなのか…DDoS対策と言われると腑に落ちざるをえない。なるほどなあ…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
webとアプリで (スコア:1)
登録されている個人情報はそれぞれ別扱いってことでしょうか。
webとアプリで (スコア:0)
Re: (スコア:2)
単にサーバーサイドの作りの問題でしょ?
クライアントがPCとアプリで結果が違ったのは、今回の場合は結果論でしかないですよね?
(アプリ側が通信するサーバーの更新で同じことが起きた可能性もあるはずです)
PCとスマフォアプリのどちらが安全かに関係する話でもなければ、たかだか1サービスの構造の問題で一般化するような話でもないと思います。
Re: (スコア:1)
> アプリ側が通信するサーバーの更新で同じことが起きた可能性もあるはずです
起きるんじゃないですかね
暗号通信をキャッシュ出来てしまう現状では
気を付けなければやらかしてしまうことなら
再発は不可避でしょう
現場に阿呆がいるか阿呆な鶴の一声があれば
簡単に起きてしまえる程度のことなのですから
# こういう開発環境が一般的じゃないといいなぁ
Re: (スコア:1)
だから外形監視を導入するじゃん?
-- 風は東京に吹いているか
Re: (スコア:0)
だから外形監視ってのが皮肉なジョークなのでは?
発覚イコール流出の瞬間を観測なわけで
通信だけでなくキャッシュもクライアントごとに暗号化されていれば
他人のキャッシュが流れてきても解読できんのでそうします
とかならまだマシなんだが
何のためのキャッシュかパフォーマンス的に微妙過ぎるけど
流出するよりはマシみたいな
# 何を得るために何を代償にするかって大事よね
Re: (スコア:0)
#3233248補足:常時SSL化の観点
既存の個人情報や決済部分のみの暗号通信では
HTTPSならキャッシュしないという定型処理ができたが
常時SSL化により区別は気を付けて開発しないとできなくなった
キャッシュ効率の共通部分と
キャッシュしてはいけない良い個人情報や決済が
共にHTTPSでの通信となるためです
ならばいっそ
キャッシュしないか
キャッシュ自体を暗号化してそのセッションでのみの効率化に留める
という
パフォーマンス的には消極的だがセキュア的には正しい解もありなのでは?
というちょっとした思考実験です
Re: (スコア:0)
>キャッシュしないか
>キャッシュ自体を暗号化してそのセッションでのみの効率化に留める
消極的とかじゃなくてこれらのアプローチの方がよいと思う。
個人情報をキャッシュの可能性がある経路で流していたことに驚いているくらい。
というかCDNっていつの間にか使われ方が変わっていたのか…
静的コンテンツ配信の分散化がCDNの役割と思っていた…
Re: (スコア:0)
静的コンテンツ配信の分散化がCDNの役割と思っていた…
いや…動的コンテンツはCDNに載る種類のものじゃないよねやっぱ。
サーバーサイドでレンダリングされたユーザー固有のコンテンツがCDNから静的htmlに見えてキャッシュされたという事かと思ってるんだけど、
なんかCDNはそういう自動的にいいようにやってくれるようなもんじゃなくて、
予めCDN用のコンテンツとして特定の領域に置いてあるファイルを展開するものだと思ってた。
今時、CDN利用の主目的はDDoSだし、動的コンテンツもCDNでキャッシュするのが常識 (スコア:5, 参考になる)
スラドですら DDoS 攻撃を食らう時代 [security.srad.jp] ですので、ウェブ事業者、特にメルカリのように DDoS によりアクセスできない状態になるのが致命的な直接お金が絡むサービスにおいては、DDoS 対策は必須です。今時は、CDN 利用の主目的が DDoS 対策です。
あと、昔は、htmlファイルを配信するサービスサイト example.jp には CDN を使用せず、別FQDNの imgX.cdn.example.net から 画像・JavaScript・CSS などを配信するといった方式が採用されることが多かったですが、こういっ
Re:今時、CDN利用の主目的はDDoSだし、動的コンテンツもCDNでキャッシュするのが常識 (スコア:0)
そ、そうなのか…DDoS対策と言われると腑に落ちざるをえない。なるほどなあ…