BASIC èªè¨¼ã§ãƒã‚°ã‚¢ã‚¦ãƒˆã‚’å¯èƒ½ã«ã™ã‚‹æ–¹æ³•
Cookie ã§ãƒã‚°ã‚¤ãƒ³çŠ¶æ…‹ã‚’管ç†ã™ã‚Œã°ã„ã„ã‚“ã˜ã‚ƒã„ã®ã‹ãªã€‚
ã¾ãšã€ãƒã‚°ã‚¤ãƒ³ãƒœã‚¿ãƒ³ã‚’押ã—ãŸæ™‚「ã ã‘ã€is_logged_on を真ã«ã™ã‚‹ã€‚
HTTP/1.1 Authorization Required Set-Cookie: is_logged_on=1 WWW-Authenticate: Basic realm="Hoge123456" ...
サーãƒå´ã§ã¯ã€Basic èªè¨¼ã®ãƒ‘スワードãŒã‚ã‚Šã€ã‹ã¤ã€is_logged_on ã®å€¤ãŒçœŸã§ã‚ã‚‹ã“ã¨ã‚’ãƒã‚§ãƒƒã‚¯ã™ã‚Œã°ã„ã„。
GET / HTTP/1.1 Cookie: is_logged_on=1 Authorization: Basic ... ... HTTP/1.1 200 OK ...
ã§ã€ãƒã‚°ã‚¢ã‚¦ãƒˆã®éš›ã«ã¯ã€Cookie を消ã™ã€‚
HTTP/1.1 200 OK Set-Cookie: is_logged_on=0 ...
ãã—ã¦ã€is_logged_on=0 ã®å ´åˆã«ã¯ã€Authorization ヘッダãŒãªã‹ã‚ã†ãŒã€ãƒ‘スワードãŒé–“é•ã£ã¦ã„よã†ãŒã€401 ã‚’è¿”ã•ã€Œãªã„ã€ã€‚
ã‚‚ã†çœ ã„ã‹ã‚‰é–“é•ã£ã¦ã‚‹ã‹ã‚‚ã—ã‚Œãªã„ã‘ã© (Kazuho@Cybozu Labs: HTTP 認証でログアウト処理 昔ã¯ã§ããªã„ã£ã¦æ€ã£ã¦ãŸã£ã½ã„ã—) 。
22:59 追記: beinteractive ã•ã‚“ã«æ•™ãˆã¦ã‚‚らã£ãŸã‘ã©ã€Trac ãŒãã†ã„ã†ã‚„ã‚Šã‹ãŸã‚‰ã—ã„ (Yoshihiro Shindo on Twitter: "@kazuho trac のログインがそんな感じっぽい気がしますが") 。ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã™ã€‚確ã‹ã«ãã†ã‚„ã£ã¦ãƒã‚°ã‚¤ãƒ³çŠ¶æ…‹ã®é·ç§»ã¨ã‚»ãƒƒã‚·ãƒ§ãƒ³æƒ…å ±ã‚’çµ¡ã‚ã¦ãƒãƒ³ãƒ‰ãƒªãƒ³ã‚°ã—ãªã„ã¨ã€Session Fixation ã‚„ CSRF を防ã’ãªã„ã§ã™ã。
7月12日追記: kanatoko ã•ã‚“ãŒä»¥å‰æ›¸ã„ã¦ã‚‰ã£ã—ゃã£ãŸã¨ã®ã“㨠via ã¯ã¦ãƒ– (Basic認証でログアウト|freeml byGMO)
