MS社の小さな親切・大きなお世話
IE8には、ブラウザを再起動(または閉じる⇒起動)した時に、
ブラウザの中身を再起動前の画面状態に戻してくれると言う
「セッション復元機能」というのがあります。
・・・が、これはセキュリティ的に「大問題」ともなるのですわ。
具体的にはこんなセキュリティ破りが可能。
1)AさんがIE8を使って何処かの認証性サイトorシステムにログイン
2)AさんがログアウトせずにIE8を閉じる
3)Aさんが離席
4)Bさんが、AさんのPCのところに来てIE8を起動
5)Bさんがセッション復元機能を使用
(「ツール」>「最終閲覧セッションを再度開く」の順に選択)
⇒Bさんが、Aさんのアカウントで同じ認証性サイトに自動ログイン成功!
あとはBさんがAさんになりすまして好き放題♪
これまでは「オートログイン機能」を搭載してる認証性サイト(mixiやYahooなど)
以外では発生し得なかったこの手の問題を、IE8は強制的に発生可能にしてくれました。
セキュリティ的観点で「オートログイン機能を不採用」としたシステム管理者は
全員涙目です。と言うか漏れが涙目(;_;)
一応「InPrivateモードでブラウザを立ち上げる」という回避策があるんだけど、
これがまた問題あり。
所謂「信頼済みサイト」の設定のような「InPrivateモードで見るサイトを
ブラウザに記憶させる」仕組みが設けられていないので、こんな面倒な手順が
必要になってしまう。
1)ブラウザを起動
2)Ctrl+Shift+Pを押す or 「ツール>InPrivateブラウズ」を選択
3)別ウインドウが起動。アドレスバーに「InPrivate」と表示される
4)この別ウインドウで対象のサイト・システムにアクセスする
(参考:これ)
これをやる事で、セッション復元機能の対象外にする事は出来るんだけど、
サイトにアクセスするまでの手順が増える。
エンドユーザにこんな事させたくない・・。
いろいろ親切な機能を追加してくれるのはいいんだけど、
その機能が事情によって使用NGとなる場合に、
あまりエンドユーザの手を煩わせることなく使用回避できる仕組みを
考えて欲しいですわ。
それが出来ないと、「小さな親切・大きなお世話」になってしまう。
ま、MSは昔からそんな会社だけどねえ・・・。
困ったものです。つーかMS氏ね(--メ
ブラウザの中身を再起動前の画面状態に戻してくれると言う
「セッション復元機能」というのがあります。
・・・が、これはセキュリティ的に「大問題」ともなるのですわ。
具体的にはこんなセキュリティ破りが可能。
1)AさんがIE8を使って何処かの認証性サイトorシステムにログイン
2)AさんがログアウトせずにIE8を閉じる
3)Aさんが離席
4)Bさんが、AさんのPCのところに来てIE8を起動
5)Bさんがセッション復元機能を使用
(「ツール」>「最終閲覧セッションを再度開く」の順に選択)
⇒Bさんが、Aさんのアカウントで同じ認証性サイトに自動ログイン成功!
あとはBさんがAさんになりすまして好き放題♪
これまでは「オートログイン機能」を搭載してる認証性サイト(mixiやYahooなど)
以外では発生し得なかったこの手の問題を、IE8は強制的に発生可能にしてくれました。
セキュリティ的観点で「オートログイン機能を不採用」としたシステム管理者は
全員涙目です。と言うか漏れが涙目(;_;)
一応「InPrivateモードでブラウザを立ち上げる」という回避策があるんだけど、
これがまた問題あり。
所謂「信頼済みサイト」の設定のような「InPrivateモードで見るサイトを
ブラウザに記憶させる」仕組みが設けられていないので、こんな面倒な手順が
必要になってしまう。
1)ブラウザを起動
2)Ctrl+Shift+Pを押す or 「ツール>InPrivateブラウズ」を選択
3)別ウインドウが起動。アドレスバーに「InPrivate」と表示される
4)この別ウインドウで対象のサイト・システムにアクセスする
(参考:これ)
これをやる事で、セッション復元機能の対象外にする事は出来るんだけど、
サイトにアクセスするまでの手順が増える。
エンドユーザにこんな事させたくない・・。
いろいろ親切な機能を追加してくれるのはいいんだけど、
その機能が事情によって使用NGとなる場合に、
あまりエンドユーザの手を煩わせることなく使用回避できる仕組みを
考えて欲しいですわ。
それが出来ないと、「小さな親切・大きなお世話」になってしまう。
ま、MSは昔からそんな会社だけどねえ・・・。
困ったものです。つーかMS氏ね(--メ