3 <title>keitairc: セキュリティ</title>
4 <link type="text/css" rel="stylesheet" href="default.css" />
5 <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
9 <h1>keitairc: セキュリティ</h1>
12 <a href="index.html">はじめに</a> |
13 <a href="license.html">ライセンス</a> |
14 <a href="environment.html">動作環境</a> |
15 <a href="screenshot.html">スクリーンショット</a> |
16 <a href="install.html">インストール</a> |
17 <a href="usage.html">使い方</a> |
18 <a href="manual.html">マニュアル</a> |
19 <a href="http://sourceforge.jp/projects/keitairc/">開発</a> |
21 <a href="faq.html">FAQ</a> |
22 <a href="changes.html">変更履歴</a>
29 NTT docomo端末以外ではCookieも使われます。
30 Cookieの生存時間のデフォルトは14400秒です。
31 Cookieの内容はSession IDです。
32 Session IDは、最後のアクセスから30分後に無効化されます。
35 <tt>cookie_ttl</tt> オプションで Cookie の生存時間を変更できます。
38 <tt>session_ttl</tt> オプションでセッションの生存時間を変更できます。
43 keitairc 1.x に存在した、認証用のユーザ名は廃止されました。
44 また http basic auth 手法はもはや用いられていません。<br>
45 パスワードだけが keitairc の設定ファイルに平文で記述されます。
46 認証用のパスワードは初回アクセスの際に通信路を平文で流れます。
51 それまでのSession IDを破棄し、新しいSession IDに乗り移りつつ
52 外部URLへの直接リンクを表示することもできます。
53 この場合、http referrerから、それまでのSesson IDが漏洩しても、
54 その時にはそのSession IDは無効になっています。
55 なお、WebKit UI では http referrer そのものを消すようにしました
56 (referrer から Session ID が漏れることはないため、新規
57 セッションを生成してからアクセスする機能はiPhone/iPod touch 上では
66 <tt>use_cookie = yes</tt> で端末に保存されるクッキーの内容は
67 暗号化されていないので、クッキー内容が漏洩するとユーザ名パスワードも漏洩します。
70 ユーザ名とパスワードは keitairc の設定ファイルに平文で記述されます。
73 そもそもここで送受信されるユーザ名やパスワードは、
74 http basic 認証なので、通信路を平文で流れます。
77 au端末, 最近のSoftbank端末などはhttp referrerも送信しますので、
78 keitaircが表示する外部リンクをうかつにクリックすると、
79 アクセス対象サイトにはあなたのkeitaircのURLがわかってしまいます。
84 <a href="http://sourceforge.jp/">
85 <img src="http://sourceforge.jp/sflogo.php?group_id=1057"
86 width="96" height="31" border="0" alt="SourceForge.jp"></a><br>
89 <script type="text/javascript">
90 var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
91 document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));
93 <script type="text/javascript">
95 var pageTracker = _gat._getTracker("UA-15158856-1");
96 pageTracker._trackPageview();
97 } catch(err) {}</script>