パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GmailのセッションIDを自動的に盗むツールが登場」記事へのコメント

  • "Gmailには常にhttpsを利用する設定オプション"を設定しておくと
    "悪意ある者がhttp://mail.google.comの画像をメールやウェブページに紛れ込ませることでセッションIDを得ること"
    を回避できるように読めるのですが、この方面に聡い人なら周知の仕組みの説明が省略されているのでしょうか。

    これを設定しておけば、セッションIDが送出される際は必ず暗号化されるということなのでしょうか。

    また、保護されていないワイヤレスネットワークからの接続を行っている場合に推奨されている理由も不明です。
    ブラウザの近辺だけでIPパケットを傍受できるという話でもないようですし。
    • Re: (スコア:1, すばらしい洞察)

      by Anonymous Coward
      同じくタレコミ文では理解できなかった者です。
      悪意ある者が〜のくだりですが、これはgmail.comへアクセスするパケットを盗聴すればセッションIDを盗めるということなのでしょうか?
      それとも、悪意ある者がgmail.comへアクセスさせただけで、悪意ある者のウェブログか何かで盗めるということなのでしょうか?
      たぶん前者だと思うんですが、肝心の部分がすっぽり抜けてる気が。
      というか、パケット盗聴ならメール本文の盗聴のほうを気をつけるべきなんじゃ

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...