CookieのDomain属性は *指定しない* が一番安全 - ockeghem(徳丸浩)の日記たまに誤解があるようですが、Cookieを設定する場合のDomain属性は *設定しない* のがもっとも安全です。以下、例示により説明します。 ※このエントリは、http://blog.tokumaru.org/2011/10/cookiedomain.html に移転しました。恐れ入りますが、続きは、そちらをご覧ください。
「欠陥ドメイン名」が世界的に増えそうな件について:Geekなぺーじ
JPRSが「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定」というプレスリリースを出しましたが、それに対して高木浩光氏から問題提起及び公開質問状のが行われました。 さらに、徳丸浩氏が、実際にcookieで問題が発生することを検証されていました。 高木浩光@自宅の日記: JPRSに対する都道府県型JPドメイン名新設に係る公開質問 徳丸浩の日記: 都道府県型JPドメインがCookieに及ぼす影響の調査 高木浩光氏が以下のように述べられています。 何もしなければ、「都道府県型JPドメイン名」の登録が始まっても、cookieを利用できないなどの欠陥ドメイン名となることが予想される。 「都道府県型JPドメイン名」が開始されるにあたって、指摘されているような問題は実際に発生すると思われるので、JPRSが公開質問状に答えることを期待したいところです。 で、今回のこ
都道府県型JPドメインがCookieに及ぼす影響の調査
JPRSからのプレスリリース『JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定』や報道などで「都道府県型JPドメイン」というものが新設されることを知りました。 都道府県型JPドメインとは、現在活発に使われていない地域型ドメインを活性化する目的で、地域型ドメインの制約(ドメイン名が長い、一人・一団体あたり1つまで)を簡略化しようというもののようです。 しかし、現在の地域型ドメインは、ブラウザにとって処理がややこしいもので、IEなどは昔からまともに対応していません。このため、Cookie Monster Bugという脆弱性になっているという経緯があります。このルールをさらに複雑にすることになるということから、ブラウザセキュリティに関心の高い人たちが騒ぎ始めています。 そこで、高木浩光氏の日記「JPRSに対する都道府県型JPドメイン名新設に係る公開質問」の以
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Yahoo
