エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント30件
- 注目コメント
- 新着コメント
bleu-bleut
「HTTP ブラウジング・セッション(プレーン・テキスト)を行っている人を攻撃者が悪用することで、セキュアな HTTPS 暗号セッションで使用することになるクッキーに侵入できてしまう」ってよく分からん。
hirata_yasuyuki
Railsのセッションは署名 or 暗号化されているから、それを使う限りは大丈夫かな。 Browsing: “クッキーの脆弱性が判明: HTTPS のセキュリティを突破する、攻撃が成り立ってしまう!”
yuhi_as
(追記)徳丸先生によると中間者攻撃でのCookie強制と同事象とのこと / めも:不正Cookie値対策(攻撃文字列対策、ログイン後セッションID再割当、セッション乗っ取らせを警戒)、Cookie強制自体を防ぎたければHSTS
ockeghem
基本的にはここで書いた内容で既知の問題かと http://blog.tokumaru.org/2013/09/cookie-manipulation-is-possible-even-on-ssl.html
KoshianX
中間者攻撃でニセのcookie埋め込めちゃうよって話じゃなかったけこれ。「経路は信頼する」「公衆Wi-Fi等経路が信頼出来ない場合はhttpsでつなぐ」という対策が取られてきたけど、不完全だからHSTS使いましょうという営業?
digitalglm
クッキーの脆弱性が判明: HTTPS のセキュリティを突破する、攻撃が成り立ってしまう! | Agile Cat --- in the cloud: Cookies can bypass HTTPS in web browsers…
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
2015/09/30 リンク