婚活アプリ「Omiai」のネットマーケティングがコーポレートサイト「お問い合わせフォーム」で個人情報を閲覧できる状態になっていたと報告
コメント
注目のコメント
お問い合わせフォームを作る際、確認画面を出すために入力内容をセッションに残すというのはよくあります。そして、セッションIDは普通クライアント毎にユニークなIDを振り、そのIDはcookieやlocalStorageに保存されてプログラムで良しなに読み込まれるはずです。
今回の問題は、セッションIDが重複していて、他人の入力内容が共通したセッションIDを通じて読み込まれてしまった、というところでしょうか。
手動テストする際、セッションIDを静的な値に固定するというのは容易に考え付きますが、容易に考え付くことだからこそ、テストを書いておくなど基本的なことで抜け漏れをなくせたのではないか、と思います。
