HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 の続き。 今回は Chrome 拡張とは関係ない、サイト設計側の話です。 ※本記事では Zaif のセキュリティ上の問題について指摘していますが、非難の意図はありません。 続報:11月4日 Facebookコメントより。 Ryosuke Hosoi · テックビューロ CTO ご指摘ありがとうございました!少し事情があってすぐに対応出来なかったのですが、先ほどZaifの認証情報にもhttp_only属性がつくようになりました。 しかしながら、jsが汚染されていると他にもいろいろ攻撃出来てしまいますので、今回の件はこれでもう安心、というわけではないと考えています。 15時間前 11月14日時点で httponly 属性が付くようになったようです。対応
![Zaif のセッション情報が盗まれた原因のひとつについて。JavaScript からクッキー値を取得させない方法。 - clock-up-blog](https://cdn-ak-scissors.b.st-hatena.com/image/square/26313e5133ccedc3bccc39c84c7e7570c78f3bbd/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fk%2Fkobake%2F20161104%2F20161104040603.png)