アカウント名:
パスワード:
cookieはかなり重要なものであるけれど、一般の人の多くは「クッキーって何?」という認識のように思います。ましてcookieが盗まれると危険だということは知る由もない。
考えてみれば、多くの人が使っているWebブラウザではデフォルトですべてのcokkieを受け付ける設定になっているので、デフォルトの設定で使い続けるような人にとっては裏でcookieがやりとりされていることに非常に気付きにくい仕組みになっていますね。
cookieについてあまり知られていないことをいいことに、ユーザ側の安全性を考えずにcookieをいい加減に使っているWebサイトが多いように思います。異様に有効期限の長いcookieも多く、またドメインが"co.kr"なんていうのも見たことがあります。今回のMSNの一件も利便性を考えるあまり安全性について考えることがおろそかになってしまったように思います。
cookieとはどういうものか、ということについて広く知らしめることが必要なのかも知れませんね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
Cookieの認知度 (スコア:3, すばらしい洞察)
cookieはかなり重要なものであるけれど、一般の人の多くは「クッキーって何?」という認識のように思います。ましてcookieが盗まれると危険だということは知る由もない。
考えてみれば、多くの人が使っているWebブラウザではデフォルトですべてのcokkieを受け付ける設定になっているので、デフォルトの設定で使い続けるような人にとっては裏でcookieがやりとりされていることに非常に気付きにくい仕組みになっていますね。
cookieについてあまり知られていないことをいいことに、ユーザ側の安全性を考えずにcookieをいい加減に使っているWebサイトが多いように思います。異様に有効期限の長いcookieも多く、またドメインが"co.kr"なんていうのも見たことがあります。今回のMSNの一件も利便性を考えるあまり安全性について考えることがおろそかになってしまったように思います。
cookieとはどういうものか、ということについて広く知らしめることが必要なのかも知れませんね。
Re:Cookieの認知度 (スコア:1, 興味深い)
それに、ドメインが「co.kr」だと何がマズいのかもよくわかりません。
cookieの一番の問題点は「存在が知られていない」ことではなくて、「誤解されがち」なところではないかと。
Re:Cookieの認知度 (スコア:1, 参考になる)
CookieMonsterのことかな。
有効ドメインが「co.kr」とかにしてあると
www.hogehoge.co.kr
www.nanigashi.co.kr
www.fugafuga.co.kr
みたいにco.kr全域でどこでも有効になっちゃうcookieが出来るという罠。
Re:Cookieの認知度 (スコア:1, 参考になる)
/.J も有効期限が1年間みたいだけどこれ等も異様に長いと思うのですが、識者からみていかがですか?
ちなみに、ZDNetはなんと2037年12月30日まで有効なんてことになってますね。
でも、基本的にはcookieってセットしたドメインからしか読み取れないというのが仕様では無かったでした?
利用者はそれを前提に使用していると思っていましたけど、そこにセットしたドメイン以外のデータが読み出せるという穴があるから危険だという事ですよね?それはブラウザの責任であり、cookieが悪いわけでは無いと思うのですが・・・
# cookie自体は個人を限定する有効な手段だと私は思っていますが、こういう考えって危険でしょうか?
Re:Cookieの認知度 (スコア:3, 参考になる)
その旨アナウンスがあったとおもいましたから、別にいいのでは? とおもいます。
私はここのクッキーをその都度廃棄してログインしなおしてますけど。
| でも、基本的にはcookieってセットしたドメインからしか読み取れないというのが仕様では無かったでした?
そのとおりだとおもいます。
その実装が忠実であれば、オンラインバンキングのパスワードを入れたって問題ないんでしょうが実際問題として実装に穴があって漏洩してしまうので、その手のものをcookieに入れるのは末恐ろしい。だから漏洩しても即脅威とならないものを入れましょう、という話でしょう。
セッション限りのcookieと、仰られたあほんだらな有効期限のcookieのがごっちゃにされて全部まとめて「なんとなくcookieは危険」という誤解からくる弊害のほうが逆に危険かと。
※有効期限に対する不安に対しても「当サイトで設定されたcookieを消去する場合はこちら」みたいなリンクを用意するだけで随分と変わってくるかとおもうのですが…。
オンラインショッピングなどで接続者を特定する仕組みがどうしても必須なばあいにおいてcookieは非常に有用な手段なのは仰るとおりだと思います。安直な濫用を肯定するつもりはありませんが。
Mozillaのヘルプには「Why Reject Cookies」の記述が (スコア:0)
拒否しなければらなないか?)」という記述があります。
Mozilla オリジナルのヘルプはこれ。
http://lxr.mozilla.org/mozilla/source/extensions/help/resources/l
もじら組の日本語パックに含まれているものは、日本語パックを
インストールした後に chrome ディレクトリ内にある
URLが途切れてました。 (スコア:0)
http://lxr.mozilla.org/mozilla/source/extensions/help/resources/locale... [mozilla.org]