doc/security.html

   1 <html>
   2   <head>
   3     <title>keitairc: セキュリティ</title>
   4     <link type="text/css" rel="stylesheet" href="default.css" />
   5     <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
   6   </head>
   7   <body>
   8
   9     <h1>keitairc: セキュリティ</h1>
  10
  11     <p>
  12       <a href="index.html">はじめに</a> |
  13       <a href="license.html">ライセンス</a> |
  14       <a href="environment.html">動作環境</a> |
  15       <a href="screenshot.html">スクリーンショット</a> |
  16       <a href="install.html">インストール</a> |
  17       <a href="usage.html">使い方</a> |
  18       <a href="http://sourceforge.jp/projects/keitairc/">開発</a> |
  19       セキュリティ |
  20       <a href="faq.html">FAQ</a> |
  21       <a href="changes.html">変更履歴</a>
  22     </p>
  23
  24     <h2>keitairc 1.x</h2>
  25
  26     <ul>
  27       <li>
  28         <tt>use_cookie = yes</tt> で端末に保存されるクッキーの内容は
  29         暗号化されていないので、クッキー内容が漏洩するとユーザ名パスワードも漏洩します。
  30       </li>
  31       <li>
  32         ユーザ名とパスワードは keitairc の設定ファイルに平文で記述されます。
  33       </li>
  34       <li>
  35         そもそもここで送受信されるユーザ名やパスワードは、
  36         http basic 認証なので、通信路を平文で流れます。
  37       </li>
  38       <li>
  39         au端末, 最近のSoftbank端末などはhttp referrerも送信しますので、
  40         keitaircが表示する外部リンクをうかつにクリックすると、
  41         アクセス対象サイトにはあなたのkeitaircのURLがわかってしまいます。
  42       </li>
  43     </ul>
  44
  45     <h2>keitairc 2.x</h2>
  46
  47     <ul>
  48       <li>
  49         Cookieが使える端末ではかならずCookieも使われます。
  50         Cookieの生存時間は14400秒です。
  51         Cookieの内容はSession IDです。
  52         Session IDは、最後のアクセスから30分後に無効化されます。
  53         <ul>
  54           <li>
  55             <tt>use_cookie</tt> オプションで Cookie の利用を抑止することができます。
  56           </li>
  57           <li>
  58             <tt>cookie_ttl</tt> オプションで Cookie の生存時間を変更できます。
  59           </li>
  60           <li>
  61             <tt>session_ttl</tt> オプションでセッションの生存時間を変更できます。
  62           </li>
  63         </ul>
  64       </li>
  65       <li>
  66         keitairc 1.x に存在した、認証用のユーザ名は廃止されました。
  67         また http basic auth 手法はもはや用いられていません。<br>
  68         パスワードだけが keitairc の設定ファイルに平文で記述されます。
  69         認証用のパスワードは初回アクセスの際に通信路を平文で流れます。
  70         まあ、どのみち、通信路は平文です。
  71       </li>
  72       <li>
  73         keitairc 2.xは、
  74         それまでのSession IDを破棄し、新しいSession IDに乗り移りつつ
  75         外部URLへの直接リンクを表示することもできます。
  76         この場合、http referrerから、それまでのSesson IDが漏洩しても、
  77         その時にはそのSession IDは無効になっています。
  78       </li>
  79     </ul>
  80
  81     <p>
  82       <a href="http://sourceforge.jp/">
  83         <img src="http://sourceforge.jp/sflogo.php?group_id=1057"
  84              width="96" height="31" border="0" alt="SourceForge.jp"></a><br>
  85     </p>
  86
  87   </body>
  88 </html>