Re:こんなに具体的に書いて、 (#238466) | IEのXSSバグで任意サイトのCookieが漏洩 | スラド

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

「IEのXSSバグで任意サイトのCookieが漏洩」記事へのコメント

記事ページを表示すべてのコメント取得

検索56コメント Log In/Create an Account

こんなに具体的に書いて、 (スコア:2, 興味深い)

by torus (9980)

大丈夫なのかな . . .。
ショッピングサイトなど絶対的なセキュリティの求められるサイトでは、クッキーの安易な使い方などはされていないと期待したいところですが、どうもその期待は楽観的すぎるようなので . . .。

--
use Test::More 'no_plan';
- Re:こんなに具体的に書いて、 (スコア:2, 参考になる)
  
  by tanh (4900) on 2003年01月19日 13時50分 (#238466)
  
  結局、ユーザ側でcookieの値をチェックして、アカウントIDやメールアドレスのような安易な値が使われていないかどうかを判断するしかないのでしょうか。ログインする度に、毎回異なるセッションIDがcookieとして送られてくるかどうかとか。
  
  cookie以外にも注意すべき点がたくさんあるのですが、参考までにリンクを張っておきます。
  「安全なWebアプリ開発 31箇条の鉄則」 [java-house.jp]
  
  シェア
  
  親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

アレゲは一日にしてならず -- アレゲ見習い