12.アクセス許可対象者を限定する
- 失敗事例
- INTERNET Watch 2000年3月2日�プレイステーション・ドットコムで顧客情報流出�自分の購入状況をWebで確認できるようになっていた。その確認用WebページのURLの最後の部分の数字が、それぞれの顧客に振り分けられていたもののため、当てずっぽうで適当な数字を入力しても、他の顧客の番号と合致した場合に、その顧客の購入情報が見えてしまっていた。
- アクセス毎にセッションIDからユーザIDを取得し、それを元に必要なデータを取り出すように設計する
- URLにユーザIDを出し、後にアクセス許可対象者チェックをするという設計は、チェック漏れを起こす
ビデオを開始
