http/cookie-monster-bugについて、ここに記述してください。 徳丸浩の日記より: {{{ 筆者はWebアプリケーションのセキュリティを専門とするコンサルタントであり、 現在のWebの仕様や関連ソフトウェア(Webサーバー、開発言語、ブラウザ等)の状況を受け入れた上で、 Webアプリケーションを安全にする方法を示すことが使命と考えます。 この文書は、そのような立場で書いています。 }}} 商売として成り立つことが重要ということですね。脆弱性がなくなっては商売にならなくなると言いたいのでしょうか。 それだけでは技術者としては問題があります。-- ToshinoriMaeno <> ---- 属性型JPドメインと地域型JPドメインに対するCookie Monster Bug調査 http://blog.tokumaru.org/2011/10/jpjpcookie-monster-bug.html {{{ Cookie Monster Bugによる典型的な影響は、セッションIDの固定化攻撃を受けやすくなることです。 ... Cookie Monster BugによるセッションID固定化の主要因はCookie Monster Bugそのものにあると考えられ、 ブラウザ側で対処しないので、やむを得ずWebアプリケーション側で対処している状況と筆者は理解しています。 }}} [[セッション固定攻撃]] http://ockeghem.tumblr.com/post/10926141327/cookie-monster-bug Cookie Monster Bugの影響(徳丸本より) ---- 「対処しないブラウザがある」というのが実態だろう。 -- ToshinoriMaeno <> ---- {{{ Q6:Cookie Monster Bugはドメインの問題ではなくて、Cookie仕様やブラウザの実装の問題ではないのか? A6:その通りです Cookie Monster Bugは前述のようにブラウザのバグであり、 Cookieの仕様(RFC6265)に起因するものです。 長期的には、これらが改善されるべきであると筆者は考えます。 }}} {{{ 地域型JPドメインや(将来の)都道府県型JPドメインを避けた方が良いというのは、 あくまでも現状のブラウザにおけるCookieの実装を是認するという想定での話です。 }}}