パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GmailのセッションIDを自動的に盗むツールが登場」記事へのコメント

  • "Gmailには常にhttpsを利用する設定オプション"を設定しておくと
    "悪意ある者がhttp://mail.google.comの画像をメールやウェブページに紛れ込ませることでセッションIDを得ること"
    を回避できるように読めるのですが、この方面に聡い人なら周知の仕組みの説明が省略されているのでしょうか。

    これを設定しておけば、セッションIDが送出される際は必ず暗号化されるということなのでしょうか。

    また、保護されていないワイヤレスネットワークからの接続を行っている場合に推奨されている理由も不明です。
    ブラウザの近辺だけでIPパケットを傍受できるという話でもないようですし。
    • cookieのsecureモードの話ではないかと。詳細はぐぐれ。
      • secureフラグを立てたcookieは、https:// へのアクセスのときしか送出されない
        ので、gmailの設定にチェックを入れておくと、secureフラグを立てたcookieを使うようになるので、

        https://
        相手にしか送らないわけですね。で、悪者が
        https://www.google.co.jp/images/nav_logo3.png [google.co.jp]なんてしても大丈夫と……って、あれれ。
        • by Anonymous Coward
          > で、悪者が
          > https://www.google.co.jp/images/nav_logo3.png [google.co.jp]なんてしても大丈夫と……って、あれれ。
          その場合Cookieを伴った画像へのリクエストはhttpsな通信路を経由して送られるので、悪者には読み取れません。
          >>> これを設定しておけば、セッションIDが送出される際は必ず暗号化される
          わけです。
          • by Anonymous Coward on 2008年08月20日 15時48分 (#1406628)
            そうじゃなくてリンクをクリックすれば解るけどSSL証明書が間違ってる(ドメインと不一致)のを「あれれ」と言っているのではないかと。

            これをOK押すような人だったら簡単にセッションID取れちゃうぞっと。
            親コメント
            • by 127.0.0.1 (33105) on 2008年08月20日 16時11分 (#1406642) 日記
              一応参考までにFirefox3でアクセスしたらこー表示されるわけで。

              > 安全な接続ができませんでした
              > www.google.co.jp は不正なセキュリティ証明書を使用しています。
              > この証明書は www.google.com にだけ有効なものです。
              > (エラーコード: ssl_error_bad_cert_domain)
              > * サーバの設定に問題があるか、誰かが正規のサーバになりすましている可能性があります。
              > * 以前は正常に接続できていた場合、この問題は恐らく一時的なものですので、後で再度試してみてください。
              >
              > 例外として扱うこともできます...
              親コメント

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...