アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
理屈が判りません (スコア:1)
"悪意ある者がhttp://mail.google.comの画像をメールやウェブページに紛れ込ませることでセッションIDを得ること"
を回避できるように読めるのですが、この方面に聡い人なら周知の仕組みの説明が省略されているのでしょうか。
これを設定しておけば、セッションIDが送出される際は必ず暗号化されるということなのでしょうか。
また、保護されていないワイヤレスネットワークからの接続を行っている場合に推奨されている理由も不明です。
ブラウザの近辺だけでIPパケットを傍受できるという話でもないようですし。
Re:理屈が判りません (スコア:1)
ご両人、どうもありがとうございました (スコア:2, おもしろおかしい)
ので、gmailの設定にチェックを入れておくと、secureフラグを立てたcookieを使うようになるので、
https://www.google.co.jp/images/nav_logo3.png [google.co.jp]なんてしても大丈夫と……って、あれれ。
Re: (スコア:0)
> https://www.google.co.jp/images/nav_logo3.png [google.co.jp]なんてしても大丈夫と……って、あれれ。
その場合Cookieを伴った画像へのリクエストはhttpsな通信路を経由して送られるので、悪者には読み取れません。
>>> これを設定しておけば、セッションIDが送出される際は必ず暗号化される
わけです。
Re: (スコア:0)
これをOK押すような人だったら簡単にセッションID取れちゃうぞっと。
Re:ご両人、どうもありがとうございました (スコア:3, おもしろおかしい)
> 安全な接続ができませんでした
> www.google.co.jp は不正なセキュリティ証明書を使用しています。
> この証明書は www.google.com にだけ有効なものです。
> (エラーコード: ssl_error_bad_cert_domain)
> * サーバの設定に問題があるか、誰かが正規のサーバになりすましている可能性があります。
> * 以前は正常に接続できていた場合、この問題は恐らく一時的なものですので、後で再度試してみてください。
>
> 例外として扱うこともできます...
これのことですか (スコア:0)
「Cookieはセキュア・モードで」経済産業省がサイト運営者などに呼びかけ:ITpro [nikkeibp.co.jp]
5年前?日本は進んでますね。
Re:理屈が判りません (スコア:1, すばらしい洞察)
悪意ある者が〜のくだりですが、これはgmail.comへアクセスするパケットを盗聴すればセッションIDを盗めるということなのでしょうか?
それとも、悪意ある者がgmail.comへアクセスさせただけで、悪意ある者のウェブログか何かで盗めるということなのでしょうか?
たぶん前者だと思うんですが、肝心の部分がすっぽり抜けてる気が。
というか、パケット盗聴ならメール本文の盗聴のほうを気をつけるべきなんじゃ
Re:理屈が判りません (スコア:1)
Defconでのプレゼン [fscked.org](らしいもの)の14ページあたりによると、DNSキャッシュポイズニング [srad.jp]も駆使して、googole.com の DNS をハイジャックするようなことが書かれている。
というあたりを自動的にやっちゃうツールがリリースされる予定ってことなのかなぁ?
Re: (スコア:0)
Cookieのsecureフラグですかね(実際にそうなのか確認はしていません)。
> 保護されていないワイヤレスネットワークからの接続を行っている場合に推奨されている理由も不明
保護されていないワイヤレスネットワークは現実的に盗聴の危険性が高い [takagi-hiromitsu.jp]からだと思います。もちろん理論上は暗号化されていない通信経路はすべて盗聴されうるというのがSSLの前提なのですが。