rNote 0.9.4は再構築を管理者だけに限定する手段としてクエリー(URI引数)にパスワードを持たせているが、これはマズい。危険すぎる。
URIにパスワードが含まれていると、何かの拍子にリファラとしてこのクエリーが流れる可能性がある。関係ないウィンドウのURIをリファラとして送信するブラウザもあるのでかなり危険だ。アクセス解析にこのURIが残ってしまうと第三者にパスワードを知られてしまう。
ブラウザの履歴にも意図せずにパスワードが残る可能性があるので重要なパスワードを同じPCを使っている人間に知られてしまう可能性もある。
再構築自体は大した問題にならないかも知れないが、パスワードを他の用途と共用している場合は致命的な問題が発生する可能性がある。
クエリーは手軽だが重要な情報を載せるべきではない。さすがにSSLを使うのは無理があるにしても、パスワードはBasic認証かPOSTで送信することをお奨めしたい。
とりあえず、メールで報告しておこう。
http://yudai.arielworks.com/memo/2004/07/28/184321.trackback
末尾に「1 + 0」の計算結果を繋げて下さい。例えば計算結果が「17」の場合、「184321.trackback17」です。これは機械的なトラックバックスパムを防止するための措置です。