アカウント名:
パスワード:
朝日新聞 [asahi.com] 曰く [twitter.com]
<クッキー> パソコンなどからウェブページに接続したとき、ページ側が利用者側の端末に保存する情報のこと。利用者がどんなページを閲覧したかの履歴のほか、ログイン時に入力したパスワードなどが含まれ、利用者は同じページにログインするときにパスワードなどを入力する手間が省けるようになる。
OK、俺の知ってるCookieとは違うけど、こんな邪悪なデータ保存形式なら規制すべきだ。
平文であろうとなかろうとCookieにパスワードなんかぶっこむのは阿呆の所業だ。Secure属性をつければ(かつブラウザが適切に処理していれば)盗聴はある程度防げるけど、書き換えは防ぎようがないから。少なくとも認証情報として何かしらのIDとパスワードを同時に持つような実装では意図しないIDを使わせることができるという脆弱性が発生するし、ユーザーIDではなくセッションIDをCookieに持つなら対になる認証情報がパスワードである必要は全くない。というかそんな実装する理由がない。(セッションID+ユーザーIDとかなら理解できるけど、そうすると朝日新聞の解説とは矛盾する)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
朝日新聞曰く (スコア:2, 興味深い)
朝日新聞 [asahi.com] 曰く [twitter.com]
<クッキー> パソコンなどからウェブページに接続したとき、ページ側が利用者側の端末に保存する情報のこと。利用者がどんなページを閲覧したかの履歴のほか、ログイン時に入力したパスワードなどが含まれ、利用者は同じページにログインするときにパスワードなどを入力する手間が省けるようになる。
OK、俺の知ってるCookieとは違うけど、こんな邪悪なデータ保存形式なら規制すべきだ。
Re: (スコア:0)
Re:朝日新聞曰く (スコア:0)
平文であろうとなかろうとCookieにパスワードなんかぶっこむのは阿呆の所業だ。
Secure属性をつければ(かつブラウザが適切に処理していれば)盗聴はある程度防げるけど、書き換えは防ぎようがないから。
少なくとも認証情報として何かしらのIDとパスワードを同時に持つような実装では意図しないIDを使わせることができるという脆弱性が発生するし、ユーザーIDではなくセッションIDをCookieに持つなら対になる認証情報がパスワードである必要は全くない。というかそんな実装する理由がない。(セッションID+ユーザーIDとかなら理解できるけど、そうすると朝日新聞の解説とは矛盾する)