APIの認証付きGETリクエストに対して認証なしリクエストのキャッシュで応答してしまうことがある

[mei23]

💡 Summary

以下の条件を満たす場合に、認証付きAPI GETリクエストに対して、過去にされた認証なしのAPI GETリクエストのキャッシュで応答されてしまうことがあります。

• 以下を満たすAPIエンドポイントへのアクセスである
  • GETを許容している
  • 匿名リクエストを許容している
  • キャッシュを許容している
• 同エンドポイントにAuthorizationヘッダーによる認証リクエスト / 認証なしリクエスト双方が行われる
• nginx等で普通にヘッダーの通りキャッシュが行われる

※以下の改修の複合によって上記条件が出現するようになった https://github.com/misskey-dev/misskey/pull/11052 GETで認証を可能にした (13.14.x) https://github.com/misskey-dev/misskey/pull/9960 認証optionalなエンドポイントでキャッシュを可能にした (13.7.x)

🥰 Expected Behavior

$ curl -IXGET https://example.com/api/notes/featured
200
cache-control: public, max-age=3600
x-cache-status: (depends on cache status)

$ curl -IXGET https://example.com/api/notes/featured
200
cache-control: public, max-age=3600
x-cache-status: HIT

$ curl -IXGET https://example.com/api/notes/featured -H 'Authorization: Bearer invalid'
401
cache-control: private, max-age=0, must-revalidate

🤬 Actual Behavior

$ curl -IXGET https://example.com/api/notes/featured
200
cache-control: public, max-age=3600
x-cache-status: (depends on cache status)

$ curl -IXGET https://example.com/api/notes/featured
200
cache-control: public, max-age=3600
x-cache-status: HIT

$ curl -IXGET https://example.com/api/notes/featured -H 'Authorization: Bearer invalid'
200 ❗ 
cache-control: public, max-age=3600 ❗ 
x-cache-status: HIT ❗ 

📝 Steps to Reproduce

1. ドキュメント通りにnginxで構築
2. Actual Behaviorの手順を実施

📌 Environment

💻 Frontend

• Model and OS of the device(s):
• Browser:
• Server URL: misskey.gg と p1.a9z.dev で確認
• Misskey: 13.14.x

🛰 Backend (for server admin)

• Installation Method or Hosting Service: ?
• Misskey: 13.14.x
• Node: ?
• PostgreSQL: ?
• Redis: ?
• OS and Architecture: ?

[tamaina]

Vary: Authorization で解決させるのでいいかしら?

[mei23]

Vary: Authorization で解決させるのでいいかしら?

それで、nginxでは解決することは確認しているのだわ。

Vary未対応のCDNではダメかもだわ CloudFront: キャッシュする場合はキャッシュキーあたりを定義する必要がある Cloudflare: エンタープライズプランでないとカスタムキャッシュキーを使えなそうだけど、そもそも該当項目はデフォルトでキャッシュしない Fastly: Vary対応しているらしいが未確認

[tamaina]

てかGETかつAuthorizationがある場合というのは考えていないしそんな使い方は多分しないので、それを禁止(?)すれば良さそう

[tamaina]

メモ: cache-control: publicなので脆弱性とかではない（注意深くなる必要はあるが）

[tamaina]

キャッシュされてんだから応答で禁止なんてできないわね