水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 解析できそうな Cookie

解析できそうな Cookie

2005年4月4日(月曜日)

解析できそうな Cookie

某所でちょっと HTTP をトレースしながら何度かログインしてみたときに、なんと先ほど発行されたのと全く同じ Cookie が発行されたりしてびっくり。バリエーションが 62種類ほど用意されているのでランダムっぽく見えていますが、何度か繰り返すと同じパターンが出てきます。まるでドラクエの「ふっかつのじゅもん」ですね。

ふっかつのじゅもんが解析できるように、この Cookie も解析できるのではないかと思うのです。たとえば、パスワードの 1文字目を変更すると値が少しだけ変化します。

******************************Pp*Ibn*o**************************
******************************To*2vq*Y**************************

なんか本当に「ふっかつのじゅもん」並みの強度しかないような気がしますね。というか、パスワードが変わると Cookie の値が変わるということは、これが解析可能だとすると Cookie 漏洩 = パスワード漏洩となるということに他ならないような。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト