自動ログイン機能抑制
自動ログインにてアクセスを行うと自動ログイン用の Cookie が発行されます。
SPRINGSECURITYREMEMBERMECOOKIE を Based64 デコードを行うことでログイン時のメールアドレスを取得することが可能です。
XSS 等の脆弱性の悪用により重要情報が取得できる可能性あります。
システム管理機能での利用抑制が行えるような対応を希望します。
<自動ログイン実行時の http レスポンス内容抜粋>
HTTP/1.1 302 Found
Date: Fri, 23 Oct 2015 08:30:28 GMT
Server: Apache
Set-Cookie: JSESSIONID=*****************************; Path=/; Secure; HttpOnly
Set-Cookie: SPRINGSECURITYREMEMBERMECOOKIE=*************************************************************; Expires=Fri, 06-Nov-2015 08:30:28 GMT; Path=/; Secure; HttpOnly
Location: https://***************.questetra.net/User/Top
(省略)
11.4.0 (リリースは少し先ですが) で対応いたします。
今後とも、よろしくお願いします。