アカウント名:
パスワード:
まぁどうなるかはわからないが、こういうことがあるとは知らなかったので勉強になったかな。
通常サブドメイン間で共有するようなCookieの使い方はしないと思うけど誰かしらない人にサブドメインを貸したら、Cookie Monster Bugのバグで狙われることもあるってことですね。IEを使っている人は多いし、知識の少ない人の割合も多そうだし、危険ですね。Chromeは単なるバグだと思うけど(元々Googleはバグが多いし)
普通は知らない人にサブドメインを貸すようなことはないけど、地域ドメインなら可能性はあるってことかぁ誰でもいくつでも取れるとなれば、確かにその不安はありそうだなぁ
むしろ、今回のように他者の変更に対して脆弱で半端な実装としか思えないわけで、ユーザの意図とは別に、脆弱性が露呈する場面は、JPRSの手落ちというわけでもなし、的外れだと思うのだが。
JPRSが余計な実装を施したおかげで、ブラウザ屋とWebアプリ屋が多少困るのは理解できなくも無い側面であるけれども、cookieって、大切な情報を送受信、保存する手段とは思えず、また、問題の本質とは違うのではなかろうか。
識者の方、私の後学のため、是非ともその点のご高説、ご教示いただけますとと幸甚の限りでございます。
# 今回は高木の釣りのような気もするし、何か隠し球を持っているのだろうか...
DNSポイズニングとかMITMにより...
大切にも程度がある。ここのセッションクッキーは大切といえば大切だけど、あれこれ手を尽くして守るほどでもない。でもオンラインバンキング時のログイン状態は、たしかにクッキーで持つには不安がある。
ところでSSLでsecureフラグを付けても、やっぱり別組織だろうと正当なSSLなら送っちゃうんだろうな。
# 識者でも無いが、思ったことを書かせていただく。他のレジストラ(海外)でこういう変更を行うところってある?あった?ccTLDの下を一手に引き受けているレジストラなんだからねもうちょっと影響を考えて変更して欲しいな
そういう意味では、co.jpというドメインは逆の意味で特殊だと思うけれども、ユーザの顰蹙を買うことは無かったのだろうか。
当時を知らないけれども、SSL屋は怒り心頭だったのではないかと想像するものだけれども。
やっぱりセッション情報は hidden 実装が安全かつ汎用性があります、ってコトに。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
勉強になった (スコア:1)
まぁどうなるかはわからないが、こういうことがあるとは知らなかったので勉強になったかな。
通常サブドメイン間で共有するようなCookieの使い方はしないと思うけど
誰かしらない人にサブドメインを貸したら、Cookie Monster Bugのバグで狙われることもあるってことですね。
IEを使っている人は多いし、知識の少ない人の割合も多そうだし、危険ですね。Chromeは単なるバグだと思うけど(元々Googleはバグが多いし)
普通は知らない人にサブドメインを貸すようなことはないけど、地域ドメインなら可能性はあるってことかぁ
誰でもいくつでも取れるとなれば、確かにその不安はありそうだなぁ
そも、cookieが安全にデータを送受信する手段として適切なのか? (スコア:0)
むしろ、今回のように他者の変更に対して脆弱で半端な実装としか思えないわけで、ユーザの意図とは別に、脆弱性が露呈する場面は、JPRSの手落ちというわけでもなし、的外れだと思うのだが。
JPRSが余計な実装を施したおかげで、ブラウザ屋とWebアプリ屋が多少困るのは理解できなくも無い側面であるけれども、cookieって、大切な情報を送受信、保存する手段とは思えず、また、問題の本質とは違うのではなかろうか。
識者の方、私の後学のため、是非ともその点のご高説、ご教示いただけますとと幸甚の限りでございます。
# 今回は高木の釣りのような気もするし、何か隠し球を持っているのだろうか...
そも、Internetが安全にデータを送受信する手段として適切なのか? (スコア:1)
DNSポイズニングとかMITMにより...
大切にも程度がある。
ここのセッションクッキーは大切といえば大切だけど、あれこれ手を尽くして守るほどでもない。
でもオンラインバンキング時のログイン状態は、たしかにクッキーで持つには不安がある。
ところでSSLでsecureフラグを付けても、やっぱり別組織だろうと正当なSSLなら送っちゃうんだろうな。
Re: (スコア:0)
# 識者でも無いが、思ったことを書かせていただく。
他のレジストラ(海外)でこういう変更を行うところってある?あった?
ccTLDの下を一手に引き受けているレジストラなんだからね
もうちょっと影響を考えて変更して欲しいな
Re: (スコア:0)
そういう意味では、co.jpというドメインは逆の意味で特殊だと思うけれども、
ユーザの顰蹙を買うことは無かったのだろうか。
当時を知らないけれども、SSL屋は怒り心頭だったのではないかと想像するものだけれども。
Re: (スコア:0)
やっぱりセッション情報は hidden 実装が安全かつ汎用性があります、ってコトに。