• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

速報

[続報]メルカリが個人情報流出で新情報、実際は「有効期限0秒のキャッシュ」

大森 敏行=日経NETWORK 2017/06/27 日経NETWORK

 メルカリは2017年6月27日、メルカリWeb版での個人情報流出に関して新たな情報を同社の技術ブログで公開した。CDNのキャッシュの動作について、CDNプロバイダーと仕様について確認し検証した結果だという。同月26日までの説明とは一部異なっている点があり、ブログエントリを加筆修正した。

メルカリの技術ブログ
[画像のクリックで拡大表示]

 メルカリは当初、「Expiresヘッダーが過去の日付であっても、Cache-Controlヘッダーが存在している場合、Expiresヘッダーの情報は考慮されない仕様になっていた」と説明していた。しかし、この内容が正確ではなかった。

 正確には、Expiresヘッダーは、Cache-Controlヘッダーにmax-age(キャッシュの有効期限を設定するキー)またはs-maxage(共有キャッシュの有効期限を設定するキー)がないときに機能していた。ただし、Expiresヘッダーに過去の日付が指定されていた場合は、このCDNプロバイダーではキャッシュの有効期限が0秒として扱われていたという。つまり、メルカリのケースでは「有効期限が0秒のキャッシュ」が存在していたことになる。

 キャッシュの有効期限が0秒になっていると、CDNからWebサーバーへのリクエスト処理を実施している間に同じURLに対してリクエストが発生すると、Webサーバーからの最初のレスポンスを待ち、二つ目以降のリクエストに対しても同じレスポンスを返す仕様になっていた。

 このため、あるユーザーがWeb版メルカリにアクセスし、メルカリのWebサーバーがレスポンスを構築している途中で、別のユーザーが同じURLにアクセスした場合、あるユーザーの情報を含むコンテンツが別のユーザーに見えてしまったという。

[技術的観点から原因を説明した同社のブログエントリ]

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る