パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IEのXSSバグで任意サイトのCookieが漏洩」記事へのコメント

  • 回避方法 (スコア:3, 参考になる)

    by jbeef (1278) on 2003年01月19日 17時27分 (#238547) 日記
    一般的なクロスサイトスクリプティング脆弱性に対する回避方法 (ただし、cookieを盗まれる脅威の回避)と同様に、 ユーザ側には以下の回避方法があります。
    • 利用するサイトが発行するcookieの有効期限を調べ、 セッション限りでないcookieを発行してくるなら、 それが盗まれるとどんな脅威があるかを考える。 それが致命的な結果となると思うなら、 毎回cookieを削除するようにする。 cookieの削除はボタン一発操作でできる [ryukoku.ac.jp]。
    • 発行されるcookieがセッション限りのものなら、 次の点に注意すれば安全である。
      • ログイン中に他のサイトを見に行かない。(HTMLメールの表示を有効にしているなら、メールも読まないようにする。)
      • サイトの利用を終えたら必ず、 サイトのログアウト機能を使用し(これにより、サイト側でセッションIDが無効化される(場合がある))、 ブラウザを一旦終了する(これによりセッションcookeiを破棄する)。
      • 利用するサイト内に、掲示板などの不特定多数が記入できるサービスがある場合は、そこに入らないように注意したほうがよい(もしそこに別のクロスサイトスクリプティング脆弱性があると、 見ただけで外のサーバに飛ばされることが起こり得る)。
    サイト運営者側の回避策は以下のことくらいでしょうか。
    • Cookieを漏洩する欠陥のあるブラウザを使わないよう、お客様に注意する。ブラウザの欠陥情報を入手して、いち早くお客様に伝える。

身近な人の偉大さは半減する -- あるアレゲ人

処理中...