HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
Mozilla Re-Mix: Firefoxのクッキーフィルタウィンドウに検索機能を付与できるアドオン「CookieExFilter」
Firefoxでは、クッキー受け入れに関するパーミッションをサイトごとに指定することができます。 こうして設定した内容は、オプション設定→プライバシー→例外サイトから[Cookie フィルタ]を開くことで、内容を確認したり新規サイトを追加したりすることができるようになっています。 しかし、ここではすべてを表示してそのパーミッションが確認できたり削除できたりする程度のことしかできません。 このCookie フィルタから登録されているサイトを絞り込んだり、パーミッションを変更することができればちょっと便利ですね。 Firefoxにそんな機能を与えてくれるアドオンが「CookieExFilter」です。 「CookieExFilter」は、Firefoxの[Cookie フィルタ]に検索機能とパーミッション変更機能を与えてくれるというものです。 アドオンをインストール後、[Cookie フィルタ
ブラウザクッキーはもう古い!?これからはFlashクッキーの時代なのか? | ライフハッカー・ジャパン
通常のブラウザでクッキーをブロックしているユーザのトラッキングを行うために有名サイトの半分以上はFlashを使っている、ということがWiredの調査によって明らかになりました! 実際の調査を行ったのはUC Berkeleyの研究所なのですが、Flashを使っているこれらの有名サイトのうち、Flashクッキーについてプライバシーポリシーに明記しているのはわずか4サイトのみだったとのこと。 これまで使われてきたブラウザクッキーと異なり、Flashクッキーというのはあまりウェブユーザには知られておらず、ブラウザのクッキープライバシーコントロールからでは設定されません。つまり、ユーザ側ではトラッキングオブジェクト対策は万全だと思っていても、そうでない場合の方が多い、ということになります。 過去にも米lifehackerではこれらの「スーパークッキー」対策を取り上げて来ました。Wired側でもCCl
Googleなど大手サイトのcookie転送に問題発覚、認証かわされる恐れ
Google、Microsoft、Yahoo!などの大手サイトに脆弱性が発覚。「サービスとしてのソフトウェア」を提供しているサイトは特に危険だという。 Google、Microsoft、Yahoo!など大手各社のWebサイトに、ユーザー認証をかわされてしまう脆弱性があることが分かり、US-CERTがアドバイザリーを公開した。 それによると、cookieを使って認証を行っているWebサービスの中には、最初にユーザーネームとパスワードを入力してログインするときには暗号化されたhttpsセッションで認証用cookieを設定していても、セッション全体が暗号化されておらず、その後そのcookieをhttpで転送しているサイトがある。 こうしたサイトでは、ネットワークパス上の攻撃者がcookieを含んだトラフィックを傍受して、正規ユーザーを装うことができてしまう可能性がある。 ログイン時にhttpsを
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
