3 <title>keitairc: セキュリティ</title>
4 <link type="text/css" rel="stylesheet" href="default.css" />
5 <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
9 <h1>keitairc: セキュリティ</h1>
12 <a href="index.html">はじめに</a> |
13 <a href="license.html">ライセンス</a> |
14 <a href="environment.html">動作環境</a> |
15 <a href="screenshot.html">スクリーンショット</a> |
16 <a href="install.html">インストール</a> |
17 <a href="usage.html">使い方</a> |
18 <a href="manual.html">マニュアル</a> |
19 <a href="http://sourceforge.jp/projects/keitairc/">開発</a> |
21 <a href="faq.html">FAQ</a> |
22 <a href="changes.html">変更履歴</a>
29 <tt>use_cookie = yes</tt> で端末に保存されるクッキーの内容は
30 暗号化されていないので、クッキー内容が漏洩するとユーザ名パスワードも漏洩します。
33 ユーザ名とパスワードは keitairc の設定ファイルに平文で記述されます。
36 そもそもここで送受信されるユーザ名やパスワードは、
37 http basic 認証なので、通信路を平文で流れます。
40 au端末, 最近のSoftbank端末などはhttp referrerも送信しますので、
41 keitaircが表示する外部リンクをうかつにクリックすると、
42 アクセス対象サイトにはあなたのkeitaircのURLがわかってしまいます。
50 Cookieが使える端末ではかならずCookieも使われます。
52 Cookieの内容はSession IDです。
53 Session IDは、最後のアクセスから30分後に無効化されます。
56 <tt>cookie_ttl</tt> オプションで Cookie の生存時間を変更できます。
59 <tt>session_ttl</tt> オプションでセッションの生存時間を変更できます。
64 keitairc 1.x に存在した、認証用のユーザ名は廃止されました。
65 また http basic auth 手法はもはや用いられていません。<br>
66 パスワードだけが keitairc の設定ファイルに平文で記述されます。
67 認証用のパスワードは初回アクセスの際に通信路を平文で流れます。
72 それまでのSession IDを破棄し、新しいSession IDに乗り移りつつ
73 外部URLへの直接リンクを表示することもできます。
74 この場合、http referrerから、それまでのSesson IDが漏洩しても、
75 その時にはそのSession IDは無効になっています。
80 <a href="http://sourceforge.jp/">
81 <img src="http://sourceforge.jp/sflogo.php?group_id=1057"
82 width="96" height="31" border="0" alt="SourceForge.jp"></a><br>