Top > RO全般 > 「アトラクションセンターでは「ログアウト」をしよう」

2009.01.18

アトラクションセンターでは「ログアウト」をしよう

 皆さん、アトラクションセンターではログアウトしてますか? 必ずログアウトするようにしましょう。

アトラクションセンター

 「ブラウザを閉じるのも、ログアウトするのも一緒だろう」と思ってる人、実は違うんです。
 ログアウトは、サーバーに「もう使わないので、ログイン情報を破棄してください」と通知するのに必要です。

 銀行のネットサービスなどでは、こんな風にかかれているのを見たことありませんか?(画像はゆうちょ銀行)
 ログアウト必須
 必ずログアウトをしてくださいと書いてあります。でも、なぜログアウトが必要なのでしょう?
 
 一度ログインすると、サーバーとブラウザは毎回ログインせずに済むように情報を交換して保存します。
 ログアウトボタンを押すと、サーバーとブラウザの両方の情報を消して、もう一回ログインを必要にします。

 ブラウザを閉じても、再度ログインが必要になるから大丈夫では? と思うかもしれません。
 これは、ブラウザ側で終了時に交換した情報を破棄しているので、ログインが必要になるためです。

 ですが、ユーザーがブラウザを閉じても、サーバー側ではそのことは分かりません。
 そのため、ブラウザを閉じて終了したと思ってても、サーバーは一定時間情報を保存しています。

 アカハックウイルスや通信内容の盗聴で情報が盗まれると、その情報を元に第三者にログインされてしまいます。
 自分は終了したと思っていたのに、終了したはずの情報を使われ、なりすまされてしまう訳です。

 ということで、習慣としてログアウトボタンを押してからブラウザを閉じるようにしましょう。
 アカハックから身を守ると考えれば、たいして面倒な事ではありませんよね?

関連記事

Trackback URL


Comments

ログアウトすべきだと言う点においては賛成ではあるのですが、
ガンホーのセキュリティは銀行ほど高くないと思います。
技術的なことはわからないのですが、
サーバー側ではログアウトによって情報の破棄、
もっと言えばログインによる情報の保持はしないのではないでしょうか。
なぜなら別々の接続元からログインが可能であるからです。
また試したのですが二つのブラウザからログインした場合、
一方でログアウトしても片方では接続状態が維持されていました。
もしかして見当違いな事言ってますかね?
>>フィルさん
セキュリティポリシーの考え方だと思います。

「同一IDでのログインは、同時に1カ所に限る」という制御していれば別ですが、そうでない場合は普通に起こりえます。
制限していなければ、正規のIDとPASSを使ったログオンは、全部正規扱いになります。
1カ所でログアウトを行っても、それはそのログオンに対するログアウトだけになります。

セキュリティ強化のためには、同一IDでのログインは、同時に1カ所に限るとすべきとは思いますけど。

なので、今回の記事とは違う話になるとおもいますよ。
ログアウトする事によってブラウザに一時的に保存されたクッキーを破棄する事が出来るから
セキュリティ上はいい事だとは思いますけどね
ただログアウトしなくてもクッキーの有効期限が短いのですぐ使えなくなりますけどw
他に閲覧に行く前に、ブラウザを閉じない場合はログアウトは大事ですよね。
ログアウトボタンは、空のクッキーで内容を消去するはず。(前に調べたときは)

有効時間が短いのは知ってますけど、クッキーの破棄ってブラウザ依存なので、
やはりサーバ側での管理(セッション情報の破棄)も必要かと。
本来は、そのためのログアウトボタンのはずなんですけどね。

なにはともあれ、ログアウトは大事です。

Comment form