secureフラグのないCookie話のニュース
2003年8月7日(木曜日)
secureフラグのないCookie話のニュース
こんなニュースが。
インターネット通販サービスの多くで、クレジットカード番号など個人情報が他人に見られたり、利用者本人になりすましての注文ができるといったシステム上の欠陥があることが、経済産業省系の研究機関、産業技術総合研究所の調査で分かった。
以上、日経新聞の(8/6)ネット通販大手、9割にシステム欠陥・産総研調査 より
これはもちろん secure フラグなしに Cookie が使われているという話で、securIT (securit.gtrc.aist.go.jp) では 7/17 付けで報告が出ています (「Cookie盗聴によるWebアプリケーションハイジャックの危険性とその対策」という PDF です)。それがどうしてこのタイミングでニュースになるのかちょっと謎です。特集だから?
まあそれは良いとして、最後を読むと……
今回の欠陥は利用者のIDなどをパソコンに保存する「クッキー」というデータが暗号化されていなかったのが原因。
……なんとも語弊がありそうな記述が。Cookie の内容自体が暗号化されるとかされないという話ではなくて、「SSL 保護のない場所では送出されないような措置 (secureフラグの使用) をしていない」という話なのですけれども。
- 「secureフラグのないCookie話のニュース」にコメントを書く
- 前(古い): クローズドのシステム
- 次(新しい): 某機器の Subscriber ID