3 <title>keitairc: セキュリティ</title>
4 <link type="text/css" rel="stylesheet" href="default.css" />
5 <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
9 <h1>keitairc: セキュリティ</h1>
12 <a href="index.html">はじめに</a> |
13 <a href="license.html">ライセンス</a> |
14 <a href="environment.html">動作環境</a> |
15 <a href="screenshot.html">スクリーンショット</a> |
16 <a href="install.html">インストール</a> |
17 <a href="usage.html">使い方</a> |
18 <a href="http://sourceforge.jp/projects/keitairc/">開発</a> |
20 <a href="faq.html">FAQ</a> |
21 <a href="changes.html">変更履歴</a>
28 <tt>use_cookie = yes</tt> で端末に保存されるクッキーの内容は
29 暗号化されていないので、クッキー内容が漏洩するとユーザ名パスワードも漏洩します。
32 ユーザ名とパスワードは keitairc の設定ファイルに平文で記述されます。
35 そもそもここで送受信されるユーザ名やパスワードは、
36 http basic 認証なので、通信路を平文で流れます。
39 au端末, 最近のSoftbank端末などはhttp referrerも送信しますので、
40 keitaircが表示する外部リンクをうかつにクリックすると、
41 アクセス対象サイトにはあなたのkeitaircのURLがわかってしまいます。
49 Cookieが使える端末ではかならずCookieも使われます。
51 Cookieの内容はSession IDです。
52 Session IDは、最後のアクセスから30分後に無効化されます。
55 <tt>use_cookie</tt> オプションで Cookie の利用を抑止することができます。
58 <tt>cookie_ttl</tt> オプションで Cookie の生存時間を変更できます。
61 <tt>session_ttl</tt> オプションでセッションの生存時間を変更できます。
66 keitairc 1.x に存在した、認証用のユーザ名は廃止されました。
67 また http basic auth 手法はもはや用いられていません。<br>
68 パスワードだけが keitairc の設定ファイルに平文で記述されます。
69 認証用のパスワードは初回アクセスの際に通信路を平文で流れます。
74 それまでのSession IDを破棄し、新しいSession IDに乗り移りつつ
75 外部URLへの直接リンクを表示することもできます。
76 この場合、http referrerから、それまでのSesson IDが漏洩しても、
77 その時にはそのSession IDは無効になっています。
82 <a href="http://sourceforge.jp/">
83 <img src="http://sourceforge.jp/sflogo.php?group_id=1057"
84 width="96" height="31" border="0" alt="SourceForge.jp"></a><br>