インターネットキオスク端末でのオートコンプリート
古典的な設定ミスだと思うのだが、インターネットキオスク端末、すなわちパブリックスペースにおかれている端末でインターネットアクセスする際に、オートコンプリート(自動補完)機能を有効にしていてはいけない。
シンガポールのチャンギ空港というとアジアのハブ空港として有名で、インターネットへのアクセス手段も多く用意されていることで知られている。フリーのWiFiも用意されていたり、3Dゲームが楽しめる場所があったりもするのだが、そこかしこに用意されているのがインターネットキオスク端末*1だ。
シンガポールからの帰国時に自分のPCを立ち上げるのが面倒だったこともあって、この端末を使ってみた。Gmail、Twitterなどのあと、Facebookにアクセスしたのだが、以前にこの端末を使ったと思われるユーザーのアカウント名*2が表示されてきて、とてもびっくりした。
ブラウザのオートコンプリートが有効にされているためなのだが、GmailやTwitterでは起きなかったのは何故かと考えたら、普段の癖で「https://」とURLに叩き込んでいたためだった。Facebookにアクセスした際は、おそらくメールからのリンクだったのだろう、SSLアクセスをしていなかったのだ。
教訓:誰もがアクセスする端末から重要なサイトへのログインはしないようにする(当たり前!)。SNSなどカジュアルな利用の場合などで、どうしてもアクセスしたいときは、SSLを用いて(=「https://」に変えて)アクセスするようにする。
インターネットキオスク端末提供者への教訓:ブラウザのオートコンプリートは無効にする。また、利用が終わったあとは常に初期値に戻すような設定にしておく*3。
参照:MSDN AUTOCOMPLETE Attribute | autocomplete Property
Note: if both of the following conditions are true:
The page was delivered over HTTPS
The page was delivered with headers or a META tag that prevents caching
...the Autocomplete feature is disabled, regardless of the existence or value of the Autocomplete attribute. This remark applies to IE5, IE6, IE7, and IE8.