パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GmailのセッションIDを自動的に盗むツールが登場」記事へのコメント

  • "Gmailには常にhttpsを利用する設定オプション"を設定しておくと
    "悪意ある者がhttp://mail.google.comの画像をメールやウェブページに紛れ込ませることでセッションIDを得ること"
    を回避できるように読めるのですが、この方面に聡い人なら周知の仕組みの説明が省略されているのでしょうか。

    これを設定しておけば、セッションIDが送出される際は必ず暗号化されるということなのでしょうか。

    また、保護されていないワイヤレスネットワークからの接続を行っている場合に推奨されている理由も不明です。
    ブラウザの近辺だけでIPパケットを傍受できるという話でもないようですし。
    • by Anonymous Coward on 2008年08月20日 15時13分 (#1406597)
      > この方面に聡い人なら周知の仕組み
      Cookieのsecureフラグですかね(実際にそうなのか確認はしていません)。
      > 保護されていないワイヤレスネットワークからの接続を行っている場合に推奨されている理由も不明
      保護されていないワイヤレスネットワークは現実的に盗聴の危険性が高い [takagi-hiromitsu.jp]からだと思います。もちろん理論上は暗号化されていない通信経路はすべて盗聴されうるというのがSSLの前提なのですが。
      親コメント

にわかな奴ほど語りたがる -- あるハッカー

処理中...