水無月ばけらのえび日記

解析できそうな Cookie

某所でちょっと HTTP をトレースしながら何度かログインしてみたときに、なんと先ほど発行されたのと全く同じ Cookie が発行されたりしてびっくり。バリエーションが 62種類ほど用意されているのでランダムっぽく見えていますが、何度か繰り返すと同じパターンが出てきます。まるでドラクエの「ふっかつのじゅもん」ですね。

ふっかつのじゅもんが解析できるように、この Cookie も解析できるのではないかと思うのです。たとえば、パスワードの 1文字目を変更すると値が少しだけ変化します。

なんか本当に「ふっかつのじゅもん」並みの強度しかないような気がしますね。というか、パスワードが変わると Cookie の値が変わるということは、これが解析可能だとすると Cookie 漏洩 = パスワード漏洩となるということに他ならないような。

• 「解析できそうな Cookie」にコメントを書く

関連する話題: セキュリティ