ショッピングサイトなどでの Cookie 盗聴を警告 |
経済産業省商務情報政策局情報セキュリティ政策室は、「ショッピングサイトや各種予約サイトなどで提供されるサービスで、 SSL を利用していてもユーザーの cookie が第三者に盗聴され、重要な情報が漏えいする可能性がある」と発表した。 セッション管理に cookie を使用し、SSL/TLS のような経路のセキュリティ保護を行っている Web アプリケーションでは、クッキーを secure モードで発行するよう通知したとの事。
SSL/TLS を用いて cookie を部外者に見られないようにしても、同じ Web サーバーに SSL/TLS 通信で見るページ(https://...)と SSL/TLS 通信を使わないで見るページ(http://...)が混在している場合、 Web ブラウザは、SSL/TLS 通信を使わないページを見るときでも、 cookie を預けてきた Web サーバーに対して cookie を送ってしまう。このクッキーは、ネットワーク通信を傍受した第三者に漏えいする可能性があるとのこと。
記事参考URL:http://japan.internet.com/ecnews/20030812/4.html
十分注意が必要である。
|
|
|