クッキーはそんなに危険?
[上に]
[前に]
[次に]
える
1999/12/21(火) 21:38:30
パスワードをクッキーでビジターに覚えさせようと思っています。
http://www.hoge.com/~hoge/cgi-bin/pass.cgi
において、
print "Set-Cookie: pass=$pass; expires=(省略); path=/~hoge\n";
とセットした場合、ブラウザはホストとパスを覚えているので、
http://www.hoge.com/~hoge/index.html
にはクッキーを渡してしまっても、
http://www.hoge.com/~geho
や、ましてや
http://www.cracker.com/
にはクッキーを絶対渡しませんよね。
ということは、
Set-cookie: (省略) path=/
というようなミスをしない限り、クッキーは安全なのでしょうか。ちまたではよくクッキーは危ないと言われるので、不安を感じているのですが。
ホスト名の詐称などが可能なのでしょうか。
ビンス
1999/12/21(火) 23:09:32
クッキーが記録されたPCを他の人が使う場合とか、中古品として売る場合が危険なのでは?
(そういう意味ではIEで使われているフォーム自動入力もアブナイ)
shin'
[E-Mail]
1999/12/21(火) 23:51:25
ブラウザによって、Cookieを書き込む場所が決まっているので、
もしも他人のコンピュータに侵入できた場合、
容易にその情報が読めてしまうといったことが
考えられると思いますが、そういったケースはごくまれだと
思うので、僕も個人的にはcookieが危険だとは思えないのですが。
(解答になっていなくてすいません)
日向
1999/12/22(水) 02:50:53
CGIやJavaScriptを組み合わせて使えばクッキーの内容を
抜く手段もあるらしいですけど。表のサイトだったらそんなに
神経質になる必要はないかと。
GOW
1999/12/22(水) 14:34:28
IEとNN4.6以前のセキュリティーホールを突いたサイトで
あれば、一つ前のサーバ(referer)でやり取りをしている
クッキー情報をjavascriptで盗む事ができるようです。
[上に]
[前に]
[次に]