クッキーセッションハイジャック実験の方法 - パスワードセキュリティ研究所実験を行うに当たって、他人の識別符号を使ったり、サーバのセキュリティホールを利用したりすると、不正アクセス禁止法に抵触し、逮捕されてしまいますので、あくまでも自分のアカウントの範囲で実験を行います。 当研究会の実験では、ブラウザとしてGoogle ChromeとWebTaster、パケット盗聴用としてWireSharkを使ってみます。 実験で調べるポイントは大きくは2つです。 クッキー盗聴で他人がログインできてしまうか その他人が、買い物だできたり、パスワードの変更ができたりと重要な操作が可能かどうか ※クッキーによるセッションハイジャックは、想定外の不正アクセスではありません。ですから、システム設計側は、ユーザを保護する意味でも、セッションハイジャックされた場合でも、ユーザの重要な情報にアクセスさせない仕組みが作られているかが肝になります。 <方法> まず、Chromeを使って、会員制の
