本日未明、CIがキックしたビルドジョブが軒並みコケてちょっと社内がザワツキました。
リモートワークだけど
ちなみに「未明」は 午前3時～日の出前 の時間を表すらしい。時間ははっきりわからんけどまぁ何時でも良いだろ？今日なのは間違いない！ の意味だと思ってた。

https://github.blog/2021-03-08-github-security-update-a-bug-related-to-handling-of-authenticated-sessions/

...ふむふむ

...

つまりごくたまに特定の条件にマッチすると別のユーザーとセッションが混じり合っちゃうバグがあったらしい。

そのバグの修正パッチは当てたけど、念の為セッションを全部クリアしたらしい。
実行するときちょっとドキドキしただろうな。
セッションオールクリアなんて運用まだやったことないな。。

どんなバグか知らんけど、セッションIDって重複することないんかな？とか疑問に思ったことはあります。
同じハッシュ値が同時に複数存在することが天文学的な確率なのかもしれんけど、githubのようなとんでもないユーザー数抱えたサービスでは起こってもおかしくない気がします。
そんな原因じゃないと思うけど。

クッキーだけで認証してたら全セッションクリアなんて容易じゃないので、やはりセッション情報はサーバーで持つべきなんでしょうね。

と 思った。