Web 2.0的アプリのセキュリティ:機密情報にJSONPでアクセスするな
要するに、script srcで取得できる形式で公開されている情報は、公開されているサイト(サービス)と関係ないサイトからも取得可能になってしまうので、機密情報はこういった形式で公開するな、ということですね。GMailの脆弱性もこれだったのは初めて知った。
script srcでクロスドメイン制約を回避できる、って聞いた時から大丈夫だろうかと思いつつ深く考えてなかったけど、とりあえずまずいと。勉強になりました。
要するに、script srcで取得できる形式で公開されている情報は、公開されているサイト(サービス)と関係ないサイトからも取得可能になってしまうので、機密情報はこういった形式で公開するな、ということですね。GMailの脆弱性もこれだったのは初めて知った。
script srcでクロスドメイン制約を回避できる、って聞いた時から大丈夫だろうかと思いつつ深く考えてなかったけど、とりあえずまずいと。勉強になりました。
コメント