Twitterは木曜日、限定された状況下でユーザーの非公開プロフィール情報が他のユーザーの手に渡る可能性があるという難解なバグについて警告した。
共有 PC で Firefox を使用して、たとえば、Twitter のプライベート メッセージでメディアを送受信したり、非公開の情報を含むプロフィールのアーカイブをダウンロードしたりした場合、このデータがコンピューターに意図せずキャッシュされていることに注意してください。
例えば、こんなシナリオを想像してみてください。自宅で家族とパソコンを共有しています。家族全員で同じユーザーアカウントを持っています。ログインし、FirefoxでTwitterを開き、プライベートメッセージで面白いGIF画像を送受信します。その後、Twitterからログアウトし、Firefoxを閉じ、パソコンからもログアウトします。すると、同じパソコンで誰かがログインし、Firefoxのファイルの中にプライベートメッセージのメディアのキャッシュコピーを見つけることができるのです。
これは、FirefoxがTwitterからこの個人情報をキャッシュすべきだという印象を受けたためと思われます。少なくともChromeとSafariは、この個人情報をキャッシュしません。このバグは、PCを共有している人を信頼できない場合にのみ問題となりますが、これは奇妙なことです。全員が同じコンピュータアカウントを共有している場合、スパイ行為を働く他の方法があるからです。
以下は、このシナリオを警告するために Twitter が本日ユーザーに送ったアラートです。
クリックして拡大
Twitter はブラウザのキャッシュに個人データが収集される原因について具体的には明らかにしていないが、HTTP ヘッダーが想定どおりに使用されなかったために Firefox がメディア ファイルとダウンロードしたデータを最大 7 日間保持していたものと思われる。
Twitterはウェブサイト上の勧告で、「Mozilla Firefoxがキャッシュデータを保存する方法が原因で、非公開情報がブラウザのキャッシュに誤って保存される可能性があることが最近判明した」と述べた。
つまり、共有または公共のコンピュータからMozilla Firefox経由でTwitterにアクセスし、Twitterデータアーカイブのダウンロードやダイレクトメッセージによるメディアの送受信などの操作を行った場合、Twitterからログアウトした後でもこの情報がブラウザのキャッシュに保存されている可能性があります。
Mozilla のエンジニア Dave Townsend 氏はこの問題を次のように要約しています。
特定のHTTPヘッダー(キャッシュ動作に明確な影響はありません)が使用されている場合、Chromeはコンテンツをキャッシュしないことを選択しているようです。Firefoxは、Cache-Controlヘッダーでキャッシュしないよう指定されていない限り、コンテンツをキャッシュします(他のすべてのHTTPリクエストと同様)。
— デイブ・タウンゼント (@EnglishMossop) 2020年4月2日
一方、Mozillaは、これは悪意のある者がリモートからアクセスできるようなものではないと指摘している。「Firefoxを使用すると、キャッシュされたデータはデバイス上にローカルに保存されます」と広報担当者はEl Regに語った。「したがって、データがキャッシュに残っていたとしても、そのデバイス上でしか閲覧できなかったはずです。」
ブラウザがダウンロードしたデータをキャッシュする方法には標準がありません。Firefox が Twitter のキャッシュデータを保存する方法は他のブラウザとは異なりますが(ただし、誤りではありません)、非公開情報が危険にさらされる可能性があることがわかりました。Firefox をご利用のお客様の Twitter データを保護するために変更を加えました。
— Twitterサポート(@TwitterSupport)2020年4月2日
このソーシャル ネットワークでは、問題の HTTP ヘッダーを変更することで、おそらくは自社側で問題を解決できると確信しているようで、つまり Firefox のアップデートは必要ないということだ。
Twitterは、「今後、Firefoxブラウザのキャッシュに個人情報が保存されないように変更しました」と発表しました。「公共のコンピュータや共有コンピュータを使用してTwitterにアクセスしている場合、または使用していた場合は、ログアウトする前にブラウザのキャッシュをクリアすることをお勧めします。また、他の人が使用しているコンピュータにダウンロードする個人情報にはご注意ください。」®
