This domain may be for sale!
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
http://d.hatena.ne.jp/mala/20120220/1329751480 の続き。書くべきことは大体既に書いてあったので、補足だけ書く。 Googleは制裁金2250万ドルを支払うことでFTCと和解した http://jp.techcrunch.com/archives/20120809google-settles-with-ftc-agrees-to-pay-22-5m-penalty-for-bypassing-safari-privacy-settings/ まさか(まともに調査されれば)こんなことになるとは思わなかったので驚いた。異常な事態である。そしてGoogle側の主張を掲載しているメディアが殆ど無いのも異常な事態である。 2250万ドルもの制裁金(和解金)が課せられるのは、2009年に書かれたヘルプの記述が原因だという。 問題の記述 http://obam
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。 この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかもしれないが、そういうことを気にしているといつまで経っても公開できないという問題が出てしまうので、そんなことはお構いなしに書く。ちなみに例外なく自社サービスに対してもサードパーティCookieに依存するな死ねと言っている。これはWebプログラマー観点で、自分がサービス開発に関わる上で知っておかねばならないだろう知識として十数年間だらだらとWebを見ていて自然に知っていたものと、あるいは興味を持って率先して調べたものが含まれている。ググッて直ぐに分かる程度の用語の定義的なことは書かない。あくまでWebサイト制作者側からの観点なので、ブラウザ開発関係
前回の続き。なるべく一般人向けに書きます。サードパーティCookieとあまり関係のない話も書きます。 http://d.hatena.ne.jp/mala/20111125/1322210819 http://d.hatena.ne.jp/mala/20111130/1322668652 前回までの概要 トラッキング目的のCookieの利用などからサードパーティCookieの利用は問題視されIE6で制限がかけられるもプライバシーポリシーを明示すれば利用できるという迂回手段を用意、しかし今ではP3Pはオワコン化、SafariはサードパーティCookieの受け入れをデフォルトで拒否する設定を採用したが一度受け入れたCookieは問答無用で送信、Mozilla関係者は「殆ど合法的な利用目的はない」と言っていたものの既存Webサイトとの互換性のために変更できず、ブラウザはサードパーティCookie
前回 http://d.hatena.ne.jp/mala/20111125/1322210819 の続きです。 前回のあらすじ ブラウザベンダーはサードパーティCookieをデフォルトでオフにしたかったんだけどお前らがサードパーティCookieに依存したサイト作るし使うからオフに出来なかったんだよ!!!!! といった事情を踏まえた上でWebアプリケーションにおけるサードパーティCookieの利用の歴史について書きます。前提知識の共有が済んだので、ここからはある程度個人的な意見も含まれます。実装面での技術的な内容も含みます。 サードパーティCookieが必要とされてきた歴史 広告のためのトラッキングCookie以外にも、サードパーティCookieに依存したサービスが数多く存在してきた。個人的に把握しているいくつかのサービスについて時系列で述べる。ついでに広告業界の流れについても重要なのを幾
JPRSからのプレスリリース『JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定』や報道などで「都道府県型JPドメイン」というものが新設されることを知りました。 都道府県型JPドメインとは、現在活発に使われていない地域型ドメインを活性化する目的で、地域型ドメインの制約(ドメイン名が長い、一人・一団体あたり1つまで)を簡略化しようというもののようです。 しかし、現在の地域型ドメインは、ブラウザにとって処理がややこしいもので、IEなどは昔からまともに対応していません。このため、Cookie Monster Bugという脆弱性になっているという経緯があります。このルールをさらに複雑にすることになるということから、ブラウザセキュリティに関心の高い人たちが騒ぎ始めています。 そこで、高木浩光氏の日記「JPRSに対する都道府県型JPドメイン名新設に係る公開質問」の以
タイトルが長くて略称があれば知りたい感じの「安全な Web アプリケーションの作り方」を暇を見つけて読んでいます。今まであいまいなままだった部分を順を追って説明してくれるので、本当に助かります。Web アプリ作りの初心者は卒業したかなーという人は必ず目を通しておくと良いと思います。 Cookie を用いたセッションについて復習 「HTTP はステートレスで」とかいう話はよく聞きますが、じゃあどうやってセッション管理するのがいいの?って話をよく考えると体系的に聞いたことがなかった!というわけで、この本で文字通り体系的に学び直すことができました。 その中でも、「セッション ID の固定化」という話題はちゃんと分かってなかった部分があったので、こちらのサイトを参考に PSGI なアプリケーションを作ってみました(僕の書いたアプリ自体はその他の脆弱性に溢れていますがw)。コードはエントリの最後に。
■ 「ライフログ活用サービス」という欺瞞 実は、今年3月、総務省の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」からは、有識者ヒアリングとして意見を述べる機会を頂いた。ただし、私に発言の機会が与えられたのは、「ライフログWG」における検討内容のうち、「より信頼されるサービスに向けて(配慮原則の提言)」の部分についてのみで、それ以外の部分については対象外だった。 あまり重大な指摘をする余地のない部分であったが、私としては与えられた使命を全うすべく可能な限り改善点を洗い出して、意見として列挙した。 この「配慮原則の提言」は、報告書案では「ライフログ活用サービス」という表現を使っているが、実質的には、これはすべて「行動ターゲティング広告」を対象としたものになっている。「ライフログ活用サービス」というと、利用者が自ら望んで活用する話に聞こえるが、行動ターゲティング広告では、基本的
EFF(電子フロンティア財団)はIPアドレスやCookieなどを用いず、コンフィギュレーションデータからユーザやそのコンピュータを識別する研究プロジェクトを行っているそうだ(本家記事より)。 「Panopticlick」というこのプロジェクトでは、User Agent stringやプラグインのバージョン、フォントといったデータを総合してユーザを識別することは可能かを検証しているとのこと。例えばウェブページ閲覧時に送信されるUser Agent stringにはOSやブラウザの情報など平均10.5ビットの情報が含まれており、これだけでもおよそ1500分の1の確率でユーザを識別できるとのこと。 Panopticlickのサイトでは、ユーザのブラウザ情報などをデータベースと比較して一意に識別できるか診断してくれるWebツールが公開されている。診断時のデータは匿名でデータベースに記録されるため、
米研究チームの発表によると、Adobe Flashを使ってネット上のユーザーの行動をひそかに追跡し続けるサイトが増えているという。 Adobe Flashを使ってネット上のユーザーの行動を追跡し続ける「秘密cookie」を利用するサイトが増えているという。米カリフォルニア大学バークリー校などの研究チームがこのほど論文を発表した。 「Flash cookie」は通常のcookieとは異なり、ブラウザのセキュリティ設定ではコントロールできないという。研究チームが大手サイトによる同cookieの利用実態について調べたところ、調査対象としたサイトの半数以上がFlash cookieを使ってユーザー情報を保存していることが判明した。 中にはユーザーが削除したHTTP cookieを、Flash cookieを使って復活させているケースもあった。しかしその存在についてはサイトのプライバシーポリシーでも
っていうことを、今頃知った。みんなで使うパソコンの設定をしていた身としては、履歴やクッキー、パスワードやフォームの類を全削除にしておけば問題はなく、クリーンなブラウザを快適に使ってもらえると思ってた。 へぇ、Flashクッキーなんて楽しい手段があるんだ。マクロメディアのローカルフォルダにクッキーがばっちり残っているじゃないか。Adobe Flashにはブラウザのクッキーとは独立した個人情報保管システムがあるみたいだね。他のプラグインも独自にローカルフォルダにデータを保管していたりするのかな。ん、ニコニコ動画の前回検索タグ履歴なんてのがあるぞ。 多分、Windowsだとこの辺にあると思う。 >C:\Documents and Settings\ユーザー名\Application Data\Macromedia\Flash Player\#SharedObjects\ もちろん、これは特定のブ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く