Cookieのpath指定はセキュリティ的に無意味 | 水無月ばけらのえび日記
公開: 2010年5月1日23時5分頃 「共用SSLサーバの危険性が理解されていない (takagi-hiromitsu.jp)」。内容としては、「Cookieのpath指定はセキュリティ的に無意味」という話ですね。 しかし、「安全な設定」として紹介されている以下の記述は誤りであり、全く安全でない。 (~中略~) Set-Cookie: における「path=...」指定は、じつはセキュリティ上何の効果もない*3ことが昔から知られている。 Cookieを発行するときに path=/foo/ のように指定した場合、/foo/ 以外のディレクトリでは、Cookieを直接は読み取れなくなります。しかし、iframeを使うと、/foo/のコンテンツにアクセスすることができます。/foo/のコンテンツからはそのCookieを読むことができますから、結局、Cookieにアクセスすることが可能だというわけ
高木浩光@自宅の日記 - SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも, クレジットカード業界は最もWebセキュリテ..
■ SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも 24日のIT Proの記者の眼に「なぜSSL利用をケチるのか」という記事が出ていた。筆者の阿蘇氏には勤務先でWebアプリケーションセキュリティについて取材を受けたことがある。この記事の主張はこうだ。 Webサイトはログイン画面からSSLを使い,利用者はログイン時に鍵マークを確認するのが常識。 阿蘇和人, なぜSSL利用をケチるのか, 日経IT Pro記者の眼, 2005年11月24日 正しい。より正確には「ログイン時」というのは、パスワードを入力する前にということだろう。ただ、その根拠としてこの記事は、フィッシング対策としてサイトが本物かを確かめるためという点だけを挙げているが、その根拠はやや弱い。 SSLをパスワード送信先の画面からではなく、入力画面から使わなくてはならない理由のもうひとつの重大な理由
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
