doc/security.html

   1 <html>
   2   <head>
   3     <title>keitairc: セキュリティ</title>
   4     <link type="text/css" rel="stylesheet" href="default.css" />
   5     <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
   6   </head>
   7   <body>
   8
   9     <h1>keitairc: セキュリティ</h1>
  10
  11     <p>
  12       <a href="index.html">はじめに</a> |
  13       <a href="license.html">ライセンス</a> |
  14       <a href="environment.html">動作環境</a> |
  15       <a href="screenshot.html">スクリーンショット</a> |
  16       <a href="install.html">インストール</a> |
  17       <a href="usage.html">使い方</a> |
  18       <a href="manual.html">マニュアル</a> |
  19       <a href="http://sourceforge.jp/projects/keitairc/">開発</a> |
  20       セキュリティ |
  21       <a href="faq.html">FAQ</a> |
  22       <a href="changes.html">変更履歴</a>
  23     </p>
  24
  25     <h2>keitairc 2.0</h2>
  26
  27     <ul>
  28       <li>
  29         NTT docomo端末以外ではCookieも使われます。
  30         Cookieの生存時間のデフォルトは14400秒です。
  31         Cookieの内容はSession IDです。
  32         Session IDは、最後のアクセスから30分後に無効化されます。
  33         <ul>
  34           <li>
  35             <tt>cookie_ttl</tt> オプションで Cookie の生存時間を変更できます。
  36           </li>
  37           <li>
  38             <tt>session_ttl</tt> オプションでセッションの生存時間を変更できます。
  39           </li>
  40         </ul>
  41       </li>
  42       <li>
  43         keitairc 1.x に存在した、認証用のユーザ名は廃止されました。
  44         また http basic auth 手法はもはや用いられていません。<br>
  45         パスワードだけが keitairc の設定ファイルに平文で記述されます。
  46         認証用のパスワードは初回アクセスの際に通信路を平文で流れます。
  47         まあ、どのみち、通信路は平文です。
  48       </li>
  49       <li>
  50         keitairc 2.0は、
  51         それまでのSession IDを破棄し、新しいSession IDに乗り移りつつ
  52         外部URLへの直接リンクを表示することもできます。
  53         この場合、http referrerから、それまでのSesson IDが漏洩しても、
  54         その時にはそのSession IDは無効になっています。
  55         なお、WebKit UI では http referrer そのものを消すようにしました
  56         (referrer から Session ID が漏れることはないため、新規
  57         セッションを生成してからアクセスする機能はiPhone/iPod touch 上では
  58         無効になっています)
  59       </li>
  60     </ul>
  61
  62     <h2>keitairc 1.x</h2>
  63
  64     <ul>
  65       <li>
  66         <tt>use_cookie = yes</tt> で端末に保存されるクッキーの内容は
  67         暗号化されていないので、クッキー内容が漏洩するとユーザ名パスワードも漏洩します。
  68       </li>
  69       <li>
  70         ユーザ名とパスワードは keitairc の設定ファイルに平文で記述されます。
  71       </li>
  72       <li>
  73         そもそもここで送受信されるユーザ名やパスワードは、
  74         http basic 認証なので、通信路を平文で流れます。
  75       </li>
  76       <li>
  77         au端末, 最近のSoftbank端末などはhttp referrerも送信しますので、
  78         keitaircが表示する外部リンクをうかつにクリックすると、
  79         アクセス対象サイトにはあなたのkeitaircのURLがわかってしまいます。
  80       </li>
  81     </ul>
  82
  83     <p>
  84       <a href="http://sourceforge.jp/">
  85         <img src="http://sourceforge.jp/sflogo.php?group_id=1057"
  86              width="96" height="31" border="0" alt="SourceForge.jp"></a><br>
  87     </p>
  88
  89 <script type="text/javascript">
  90 var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
  91 document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));
  92 </script>
  93 <script type="text/javascript">
  94 try {
  95 var pageTracker = _gat._getTracker("UA-15158856-1");
  96 pageTracker._trackPageview();
  97 } catch(err) {}</script>
  98
  99   </body>
 100 </html>