読者です 読者をやめる 読者になる 読者になる

インターネットキオスク端末でのオートコンプリート

セキュリティ

古典的な設定ミスだと思うのだが、インターネットキオスク端末、すなわちパブリックスペースにおかれている端末でインターネットアクセスする際に、オートコンプリート(自動補完)機能を有効にしていてはいけない。

シンガポールのチャンギ空港というとアジアのハブ空港として有名で、インターネットへのアクセス手段も多く用意されていることで知られている。フリーのWiFiも用意されていたり、3Dゲームが楽しめる場所があったりもするのだが、そこかしこに用意されているのがインターネットキオスク端末*1だ。

P1120231

シンガポールからの帰国時に自分のPCを立ち上げるのが面倒だったこともあって、この端末を使ってみた。GmailTwitterなどのあと、Facebookにアクセスしたのだが、以前にこの端末を使ったと思われるユーザーのアカウント名*2が表示されてきて、とてもびっくりした。

Facebook access from Changi Airport

ブラウザのオートコンプリートが有効にされているためなのだが、GmailTwitterでは起きなかったのは何故かと考えたら、普段の癖で「https://」とURLに叩き込んでいたためだった。Facebookにアクセスした際は、おそらくメールからのリンクだったのだろう、SSLアクセスをしていなかったのだ。

教訓:誰もがアクセスする端末から重要なサイトへのログインはしないようにする(当たり前!)。SNSなどカジュアルな利用の場合などで、どうしてもアクセスしたいときは、SSLを用いて(=「https://」に変えて)アクセスするようにする。

インターネットキオスク端末提供者への教訓:ブラウザのオートコンプリートは無効にする。また、利用が終わったあとは常に初期値に戻すような設定にしておく*3

参照:MSDN AUTOCOMPLETE Attribute | autocomplete Property

Note: if both of the following conditions are true:
The page was delivered over HTTPS
The page was delivered with headers or a META tag that prevents caching
...the Autocomplete feature is disabled, regardless of the existence or value of the Autocomplete attribute. This remark applies to IE5, IE6, IE7, and IE8.

*1:無料インターネットアクセス端末

*2:メールアドレス

*3:チャンギ空港では画面下に利用可能残り時間が表示されていたり、利用終了時には端末のログアウトを行うようにと指示されていて、そのような設定がされているように見えたのだが、この現象を見る限り、完全に初期値に戻していないようだ。