「セッション情報がだだ漏れなのです」という記事を書いて、スタッフブログにＴＢしたのが、6月22日。記事は、理由があって非公開にしたが、スタッフには読んでもらったと思っている。そして、7月12日には、CAMUSさんが、「ブラウザ起動後、はじめてDoblogにアクセスしたときにjsessionidが丸見えな件 」という記事をスタッフブログにＴＢされている。これもスタッフは読んでいるはずだ。それでもDoblogには何の動きもない。何故なのかさっぱりわからない。

CAMUSさんが、「どうやらセキュリティについて考えるのが苦手のようですね。」と書いているのが当たっているのかもしれない。

と思いつつ、あまり書きたくなかったが、CAMUSさんも書いていてもうすでに周知のことなので、新たな事実を出しておこうと思う。

写真（ちと細いが、クリックで拡大）は、確認くんで表示させてみた、このブログのリファラ(Referer)だ。リファラを通じて、ブログのセッションＩＤが漏れていることがわかる。

リファラとは、どのリンクをたどってそのWebサーバーにアクセスしているかを知らせる仕組みである。WEBサーバーは、このリファラでリンク元を知ることができる。この写真の場合だと、「確認くん」というWEBサーバーでは、
www.doblog.com/weblog/myblog/39230
というところに張ってあるリンクを辿ってアクセスがあったことがわかる。注目は、後ろにくっついている
jsessionid=DCC574D636E63D1242A5501BB3FBA1C4.apw1
というなんやら怪しい記号だ。これがセッションＩＤといわれるものである。

現在のDoblogでは、ブラウザを立ち上げ、最初にDoblogにアクセスしたとき、weblogというディレクトリを含むURLすべてに、このセッションIDがくっつく。

（以下、セッションIDの役目とそれが外部に漏れたとき何がおきるか等について、続く予定）

「続く予定」と書いてはみたが、やっぱり止め。当面様子をみよう。リークするのは、記事内リンクからだけではない。CSSを通じても漏れることがわかっている。これほど明確にセッションIDが漏れている事実を示してあるのだから、早急に何とかしてくれるだろう。ユーザを危険に陥れるバグは、最優先で直して欲しいものだ。
---------------------------------
「セッション情報がだだ漏れなのです」もこの際、公開にした。

結局、今週も動きはなかった。コン競べですかい？毎日チェックするのもいいかげん飽きてきた。どうにでもなれ！ってなもんで、お手上げ、降参です。ハイ。明日から３連休。