はてなブックマークモバイルの不正アクセスに関して

スポンサーリンク

「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告(ポケットはてな日記)

はてなブックマークのモバイル版で不正アクセスによる被害が発生していたとのこと。
気になる技術的な原因は以下。

このため、DoCoMo 端末でログインした状態で /entrymobile を閲覧した際、キャッシュの有効期限が切れていると、mgw.hatena.ne.jp へのリンクにそのユーザーのセッションキーを含んだ状態でコンテンツがキャッシュされ、その状態で、他のユーザーが同じく DoCoMo 端末でそのページを閲覧し mgw.hatena.ne.jp へのリンクを辿った場合には、キャッシュされたセッションキーを付与された状態で遷移することになり、結果としてキャッシュされた別のユーザーアカウントでログインした状態になっていたものです。

セッションキーを含んだコンテンツをキャッシュしていて、それが本人以外からも利用可能になってしまったって事らしい。

これは教訓にさせて頂こう。