SNSログイン状態でサイト閲覧 アカウント特定されるおそれ
コメント
注目のコメント
こまめにログアウトすることは有効かもしれないけれど本質的には何も解決していないよね。
まず前提の仕組み。
SNSにログインすると何がしかセッションキーが払い出されてサーバとクライアントに保持されます。サーバ側でセッションキー(とそれに紐付く情報)が意識的(ログアウトする等)なり無意識的(タイムアウトする等)に消えるとログアウトしたことになる訳です。
こまめにログアウト、とは言い換えると、使い終わったらログアウト、と思うのですが、じゃあSNS使いながら他のウェブサイト見ないんだっけ、という話でして。
対策としては、
・怪しいサイトは踏まないように気をつける。
・なるべくSNS使いながら他のウェブサイト見ない(のとこまめにログアウトを実践)。
・SNSと他のウェブサイトでクライアントアプリ分ける(クライアント側のセッションキー利用がアプリ内に閉じている前提)。
というのだと本質的。もちろん、SNS使っていない時に被害にあわなくなるので、こまめにログアウトが無駄ではない。
ログイン状態保持するな、的なコメントがありますが、タイムアウトを短めに設計するというのが現実的にやれることで、本当に保持しない、ログイン→情報取得→ログイン→情報取得の繰り返しで使い物にならない(し、近代的なAPI実装してたら画面の1遷移でかなりの数のサーバリクエスト飛ぶけど、言葉通りにログイン状態保持しなかったら、もはや…)。
使い手側で、使用を終える(SNSログインしてたブラウザのタブ閉じる等)とログアウト用のURLを自動で叩くよう作り込むのもありかな。こまめにログアウトと同じことだけど。似たようなバグが数年前から発見され、(名前思い出せないが)セキュリティ専門家が各SNS(当時はツイッター、フェイスブック、グーグルだったと思う)に報告し、フェイスブック以外は修正されました。
フェイスブックは「仕様です」のような回答をしました…
漏えいの対策としては下記2つと思います。
①ログアウトするまたはクッキーを自動的に削除するプラグインを導入(Cookie AutoDeleteはおすすめ)
②SNS利用は違うブラウザーで行うか、Firefoxのコンテナー機能を使ってSNS利用を他のセッションと分けます。(なかなか便利な機能です)
(下記マニアックな人のため)
③Javascriptを完全無効化(uMatrixまたはNoScriptプラグインを使う)
