たちまち。

即席で役に立つこと。

intra-martでログイン画面を放置した後にログインするとエラーが発生する

 

intra-martのセキュアトークンの仕様による。
https://www.intra-mart.jp/document/library/iap/public/im_certification/im_certification_specification/texts/components/standard/login_page.html#standard-login-page-secure-token

 

このセキュアトークンチェックを外すことで対応できるが、セキュリティレベルは下がる。

 

具体的なリスクとしては、例として以下のような事が考えられる。

 

 ・ログイン画面を経由せず、プログラム等から認証アタックをかけることが可能になる
 ・認証URLにGETリクエストを投げることが可能になる。
  その場合、IDとパスワードが平文で送られ、傍受されるリスクがある

 

など…