アカウント名:
パスワード:
まぁどうなるかはわからないが、こういうことがあるとは知らなかったので勉強になったかな。
通常サブドメイン間で共有するようなCookieの使い方はしないと思うけど誰かしらない人にサブドメインを貸したら、Cookie Monster Bugのバグで狙われることもあるってことですね。IEを使っている人は多いし、知識の少ない人の割合も多そうだし、危険ですね。Chromeは単なるバグだと思うけど(元々Googleはバグが多いし)
普通は知らない人にサブドメインを貸すようなことはないけど、地域ドメインなら可能性はあるってことかぁ誰でもいくつでも取れるとなれば、確かにその不安はありそうだなぁ
むしろ、今回のように他者の変更に対して脆弱で半端な実装としか思えないわけで、ユーザの意図とは別に、脆弱性が露呈する場面は、JPRSの手落ちというわけでもなし、的外れだと思うのだが。
JPRSが余計な実装を施したおかげで、ブラウザ屋とWebアプリ屋が多少困るのは理解できなくも無い側面であるけれども、cookieって、大切な情報を送受信、保存する手段とは思えず、また、問題の本質とは違うのではなかろうか。
識者の方、私の後学のため、是非ともその点のご高説、ご教示いただけますとと幸甚の限りでございます。
# 今回は高木の釣りのような気もするし、何か隠し球を持っているのだろうか...
DNSポイズニングとかMITMにより...
大切にも程度がある。ここのセッションクッキーは大切といえば大切だけど、あれこれ手を尽くして守るほどでもない。でもオンラインバンキング時のログイン状態は、たしかにクッキーで持つには不安がある。
ところでSSLでsecureフラグを付けても、やっぱり別組織だろうと正当なSSLなら送っちゃうんだろうな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
勉強になった (スコア:1)
まぁどうなるかはわからないが、こういうことがあるとは知らなかったので勉強になったかな。
通常サブドメイン間で共有するようなCookieの使い方はしないと思うけど
誰かしらない人にサブドメインを貸したら、Cookie Monster Bugのバグで狙われることもあるってことですね。
IEを使っている人は多いし、知識の少ない人の割合も多そうだし、危険ですね。Chromeは単なるバグだと思うけど(元々Googleはバグが多いし)
普通は知らない人にサブドメインを貸すようなことはないけど、地域ドメインなら可能性はあるってことかぁ
誰でもいくつでも取れるとなれば、確かにその不安はありそうだなぁ
そも、cookieが安全にデータを送受信する手段として適切なのか? (スコア:0)
むしろ、今回のように他者の変更に対して脆弱で半端な実装としか思えないわけで、ユーザの意図とは別に、脆弱性が露呈する場面は、JPRSの手落ちというわけでもなし、的外れだと思うのだが。
JPRSが余計な実装を施したおかげで、ブラウザ屋とWebアプリ屋が多少困るのは理解できなくも無い側面であるけれども、cookieって、大切な情報を送受信、保存する手段とは思えず、また、問題の本質とは違うのではなかろうか。
識者の方、私の後学のため、是非ともその点のご高説、ご教示いただけますとと幸甚の限りでございます。
# 今回は高木の釣りのような気もするし、何か隠し球を持っているのだろうか...
そも、Internetが安全にデータを送受信する手段として適切なのか? (スコア:1)
DNSポイズニングとかMITMにより...
大切にも程度がある。
ここのセッションクッキーは大切といえば大切だけど、あれこれ手を尽くして守るほどでもない。
でもオンラインバンキング時のログイン状態は、たしかにクッキーで持つには不安がある。
ところでSSLでsecureフラグを付けても、やっぱり別組織だろうと正当なSSLなら送っちゃうんだろうな。