クッキーはそんなに危険？

える 1999/12/21(火) 21:38:30
　パスワードをクッキーでビジターに覚えさせようと思っています。

http://www.hoge.com/~hoge/cgi-bin/pass.cgi
において、
print "Set-Cookie: pass=$pass; expires=(省略); path=/~hoge\n";
とセットした場合、ブラウザはホストとパスを覚えているので、
http://www.hoge.com/~hoge/index.html
にはクッキーを渡してしまっても、
http://www.hoge.com/~geho
や、ましてや
http://www.cracker.com/
にはクッキーを絶対渡しませんよね。

ということは、
Set-cookie: (省略) path=/
というようなミスをしない限り、クッキーは安全なのでしょうか。ちまたではよくクッキーは危ないと言われるので、不安を感じているのですが。
ホスト名の詐称などが可能なのでしょうか。

ビンス 1999/12/21(火) 23:09:32
クッキーが記録されたＰＣを他の人が使う場合とか、中古品として売る場合が危険なのでは？

（そういう意味ではＩＥで使われているフォーム自動入力もアブナイ）

shin' [E-Mail] 1999/12/21(火) 23:51:25
ブラウザによって、Cookieを書き込む場所が決まっているので、
もしも他人のコンピュータに侵入できた場合、
容易にその情報が読めてしまうといったことが
考えられると思いますが、そういったケースはごくまれだと
思うので、僕も個人的にはcookieが危険だとは思えないのですが。
（解答になっていなくてすいません）

日向 1999/12/22(水) 02:50:53
CGIやJavaScriptを組み合わせて使えばクッキーの内容を
抜く手段もあるらしいですけど。表のサイトだったらそんなに
神経質になる必要はないかと。

GOW 1999/12/22(水) 14:34:28
　IEとNN4.6以前のセキュリティーホールを突いたサイトで
あれば、一つ前のサーバ（referer）でやり取りをしている
クッキー情報をjavascriptで盗む事ができるようです。