TwitterをFirefoxで利用した際のセキュリティ問題
   2 min read

というリリースが先日出されましたが、具体的にどういう問題なのかが書かれていないので調べてみました。

The Mozilla Blog から詳細を辿れました。

発生している(た)事象:

  • ダイレクトメッセージがローカルキャッシュに保存されたままになるため、他者が(Twitterにログインしなくとも)ダイレクトメッセージを読み取れてしまう状況になる

原因:

  • キャッシュしないようにする指示が不適切だった(Web標準に則っておらず、一部ブラウザでのみ効果のある設定( Pragma: no-cache )を行っていた)。

    • 今回のような場合は Cache-Control: no-store を指定しなければならない。

Cache-Control の"キャッシュ可能性"の節に説明がありますが、

no-cache

キャッシュコピーをリリースする前に、検証のために元のサーバーへリクエストを送ることをキャッシュに強制します。

no-store

クライアントのリクエストであるかサーバーのレスポンスであるかにかかわらず、キャッシュを格納してはいけません。

no-cacheリクエストのみ をキャッシュしない指示に対し(ただしレスポンスもキャッシュしなくなるブラウザも存在する)、 no-storeリクエストもレスポンスも キャッシュしない指示なので後者を用いるべきだ、ということのようです。