アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
理屈が判りません (スコア:1)
"悪意ある者がhttp://mail.google.comの画像をメールやウェブページに紛れ込ませることでセッションIDを得ること"
を回避できるように読めるのですが、この方面に聡い人なら周知の仕組みの説明が省略されているのでしょうか。
これを設定しておけば、セッションIDが送出される際は必ず暗号化されるということなのでしょうか。
また、保護されていないワイヤレスネットワークからの接続を行っている場合に推奨されている理由も不明です。
ブラウザの近辺だけでIPパケットを傍受できるという話でもないようですし。
Re: (スコア:1, すばらしい洞察)
悪意ある者が〜のくだりですが、これはgmail.comへアクセスするパケットを盗聴すればセッションIDを盗めるということなのでしょうか?
それとも、悪意ある者がgmail.comへアクセスさせただけで、悪意ある者のウェブログか何かで盗めるということなのでしょうか?
たぶん前者だと思うんですが、肝心の部分がすっぽり抜けてる気が。
というか、パケット盗聴ならメール本文の盗聴のほうを気をつけるべきなんじゃ
Re:理屈が判りません (スコア:1)
Defconでのプレゼン [fscked.org](らしいもの)の14ページあたりによると、DNSキャッシュポイズニング [srad.jp]も駆使して、googole.com の DNS をハイジャックするようなことが書かれている。
というあたりを自動的にやっちゃうツールがリリースされる予定ってことなのかなぁ?