keitairc: セキュリティ

はじめに | ライセンス | 動作環境 | スクリーンショット | インストール | 使い方 | マニュアル | 開発 | セキュリティ | FAQ | 変更履歴

keitairc 2.0

• NTT docomo端末以外ではCookieも使われます。 Cookieの生存時間のデフォルトは14400秒です。 Cookieの内容はSession IDです。 Session IDは、最後のアクセスから30分後に無効化されます。
  • cookie_ttl オプションで Cookie の生存時間を変更できます。
  • session_ttl オプションでセッションの生存時間を変更できます。
• keitairc 1.x に存在した、認証用のユーザ名は廃止されました。 また http basic auth 手法はもはや用いられていません。
  パスワードだけが keitairc の設定ファイルに平文で記述されます。 認証用のパスワードは初回アクセスの際に通信路を平文で流れます。 まあ、どのみち、通信路は平文です。
• keitairc 2.0は、 それまでのSession IDを破棄し、新しいSession IDに乗り移りつつ 外部URLへの直接リンクを表示することもできます。 この場合、http referrerから、それまでのSesson IDが漏洩しても、 その時にはそのSession IDは無効になっています。 なお、WebKit UI では http referrer そのものを消すようにしました (referrer から Session ID が漏れることはないため、新規 セッションを生成してからアクセスする機能はiPhone/iPod touch 上では 無効になっています)

keitairc 1.x

• use_cookie = yes で端末に保存されるクッキーの内容は 暗号化されていないので、クッキー内容が漏洩するとユーザ名パスワードも漏洩します。
• ユーザ名とパスワードは keitairc の設定ファイルに平文で記述されます。
• そもそもここで送受信されるユーザ名やパスワードは、 http basic 認証なので、通信路を平文で流れます。
• au端末, 最近のSoftbank端末などはhttp referrerも送信しますので、 keitaircが表示する外部リンクをうかつにクリックすると、 アクセス対象サイトにはあなたのkeitaircのURLがわかってしまいます。