HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
クッキーの最大サイズ制限について
Updated: 2004-01-11 22:26:43+0900 - [ HOME ] はじめに この文書は、クッキーの最大サイズの制限について説明したものです。なぜこんなことを調べ始めたかについては、日記、もじら組のスレッド、および、実際に問題を再現するこちらのページをご覧下さい。 この文書を書くに当たって、もじら組での議論が非常に参考になりました。ありがとうございます。自分は最初クッキーの仕様について勘違いしていて、いろいろ問題のある発言をしていて恥ずかしいのですが……。まだ間違っている個所があるかもしれません。間違いを発見されましたら、ご連絡いただけると嬉しいです。 クッキーの個数 クッキーは、「名前=値」の1つの組みを1個と数えます。変数1個がクッキー1個に相当します。Netscapeの仕様およびRFC 2109(obsolete)によると、クライアントは1つのホストまたはドメイ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
