3月12日、IDメニューに表示される名前が他人のものになり、他人のオプション操作ボタンが表示されるという不具合が複数回確認されました。
フィードバックを送ってくださった方、親切なご報告、ありがとうございます。
結果的にそれほど危険ではない不具合でしたが、このサイトの安全性を脅かす懸念があった事ですので、詳しく説明します。

原因

この不具合の原因は、開発者による不適切なキャッシュ設定です。
サイトは処理を効率化するために、特定のページをキャッシュとして保存しており、IDメニューページがその対象の一つとなっています。
キャッシュにはデータの保存方法が簡単に分けて二種類あり、データを利用者全員がアクセスできる場所に保存するものと、キャッシュするページを開いたユーザーのみがアクセスできる場所に保存するものがあります。
IDメニュー画面は利用者によって画面表示が異なるものですが、このページのキャッシュ保存場所を全員がアクセスできるところに指定してしまったため、利用者がIDメニュー画面を開いたとき、他人が保存したキャッシュデータを自分のデータと区別なしに読み込んでしまい、このような不具合が発生しました。

リスク

キャッシュされたデータはHTMLなどの画面表示関係のデータのみで、IDの認証キーなどは含まれていませんので、不正な認証が行われることはありません。
よってこの不具合発生時は、他人のIDにログインしたのではなく、他人のメニュー画面の画面情報が表示されたことになります。 また、メニュー画面には氏名以外の個人データを含んでいませんし、利用者は現時点で部員のみです。一部の利用者にはOASやAUTH権限操作ボタンのブロックが表示されましたが、認証がされていませんので、不具合発生時でもこの機能を使うことはできません。 よって、この不具合はサイトの安全性を脅かす致命的な脆弱性を表すものではありませんでした。

修正

12日の21時に、サイトのキャッシュ設定を修正したバージョンをリリースしました。これに合わせて利用者が必ず行わなければならない操作はありませんが、できればブラウザに保存されたキャッシュの削除をおすすめします。

以上
開発者 三宅真広