HTTP_cookie
是非お友達にも!
■暇つぶし何某■

[Wikipedia|▼Menu]
□記事を途中から表示しています
[最初から表示]

セキュリティ、プライバシーの問題

この節の加筆が望まれています。

セッションハイジャック

クッキーでセッション管理を行う場合、もし第三者がセッションIDを知ることができれば、そのIDを名乗ることで本来のユーザになりすますことができる。このような「なりすまし」行為をセッションハイジャックと呼ぶ。

例として、以下のような通信を行うシステムがあるとする。
トップページでユーザIDとパスワードの入力を求める。

認証に成功するとサーバはセッションIDを割り当て、クッキーとしてクライアントに通知する。

クライアントは以降の要求にクッキーとしてセッションIDを付加する。サーバは対応するセッション情報にアクセスし、どのユーザであるか識別する。

もし第三者がセッションIDを知ることができれば、そのセッションが有効な間だけとはいえ、1?2を飛ばして3から開始することができる。すなわち、パスワードを知らなくても「なりすまし」が可能となる。

第三者のクッキー情報を知る方法のひとつは盗聴である。盗聴を防ぐ手段としてTLSがある。ただしここで、クッキーは有効範囲内のすべての要求に対して自動的に付加されることに注意する必要がある。SSLでクッキー情報を暗号化しているつもりでも、有効範囲の設定によっては、SSLを利用しない要求にもクッキーが付加される可能性がある。情報処理推進機構は2003年8月に、この点に関する注意喚起[7]を行った。

クロスサイトスクリプティングも、クッキー情報を不正に得る手段として使われる場合がある。クッキーには有効範囲が設定されているが、その有効範囲内にクロスサイトスクリプティング脆弱性を持つページがある場合、JavaScript等を併用して、他のサーバにクッキー情報を(URLの一部に組み込むなどして)送信させることが可能になる。
トラッキング・クッキー

クッキーを使うと、そのユーザからの他の要求と関連付けることができる。

この手法は、ウェブ広告業者がよく利用する。バナー広告は、業者のサーバへのリンクを介して画像を取得する形式が一般的である。前述のとおりクッキーはHTMLに限らず、画像にも設定することができる。HTTPではリンク元のURL情報も送信することが一般的なので、結果として広告業者は、同社を利用するすべてのサイトを対象としてそのユーザのアクセス履歴を把握することが可能になる。ユーザのアクセス履歴を追跡するという意味からトラッキング・クッキーと呼ばれたり、メインのHTMLではなく画像の提供元が設定するという意味からサードパーティ・クッキーと呼ばれたりする。

これをプライバシーの侵害と考える人も、そう考えない人もいる。このようなクッキーを設定したくないユーザのために、クライアント向けセキュリティ対策ソフトの多くは、トラッキング・クッキーを検出・除去する機能を備えている[8][9]。しかし、すべてのユーザにその影響が正しく理解されているとは限らず、コンピュータウイルスと誤解して初心者が驚くといった状況も散見される。
類似のトラッキング技術

ウェブサイト作成者はクッキーを用いなくても、IPアドレスユーザーエージェントウェブビーコンHTTPリファラなどを利用してトラッキングをすることが可能である。

またAdobe Flashで使われるLocal Shared Object(フラッシュ・クッキーとも呼ばれる)、HTML5Silverlightの保存領域を利用してクッキーと同様のトラッキングをすることが可能である。ユーザには非常に気づかれにくい上に、クッキーが拒否あるいは削除されてもそれらの情報から容易に生成・復元することもできる。これらを総称してZombie cookie(ゾンビ・クッキー)やSupercookie(スーパー・クッキー)などと呼ばれる[10]。問題になり始めた2011年現在では一般的なウェブブラウザやセキュリティソフトウェアの多くはこれに対処できておらず、除去や防止のためにはサードパーティ製ブラウザアドオンなどが必要である。
脚注^ ここで言う資源とは、HTML文書や画像、音声、などのコンテンツ全般を指す。
^ ウィキペディアを例に挙げると、同じURLでもログインしていない場合はページの一番上が「ログインまたはアカウント作成」、している場合は「(ユーザ名) 自分の会話 個人設定 ウォッチリスト 自分の投稿記録 ログアウト」と表示が変化する。
^ Netscape Communications Corporation. “ ⇒PERSISTENT CLIENT STATE HTTP COOKIES” (英語). 2011年9月29日閲覧。
^ Dan Winship. “2009-08-05-Dan-Winship.txt” (英語). 2011年9月29日閲覧。
^ Dan Winship. “2009-08-11-Dan-Winship.txt” (英語). 2011年9月29日閲覧。
^ Microsoft. “ ⇒[IIS]2038 年 1 月 19 日以降の有効期限のクッキーにおける ASP 200 エラー” (日本語). 2008年6月16日閲覧。
^ 情報処理推進機構. “ ⇒経路のセキュリティと同時にセキュアなセッション管理を” (日本語). 2008年5月24日閲覧。
^ Symantec Corporation. “ ⇒システムの完全スキャンを実行するとトラッキング・クッキーのリスクが表示される” (日本語). 2008年6月15日閲覧。
^ Trend Micro Incorporated. “ ⇒スパイウェア検索をすると「COOKIE_・・・・」が多量に検出されるのですが、大丈夫ですか?” (日本語). 2008年6月15日閲覧。 [リンク切れ]
^“アドネットワークは、常にあなたを監視している”. japan.internet.com. (2011年10月25日). ⇒http://japan.internet.com/wmnews/20111025/5.html 2011年10月26日閲覧。 

関連項目

Hypertext Transfer Protocol

クロスサイト・クッキング

外部リンク

RFC 2965
- HTTP State Management Mechanism

RFC 6265 - HTTP State Management Mechanism

RFC6265 ? HTTP State Management Mechanism (クッキー処理仕様)日本語訳

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めていますPJ:コンピュータ/P:コンピュータ)。


ご協力下さい!!
◇暇つぶし何某◇

[次ページ]
[記事の検索]
[おまかせリスト]
[ブックマーク登録]
[mixiチェック!]
[Twitterに投稿]
[オプション/リンク一覧]
[話題のニュース]
[列車運行情報]
[暇つぶしWikipedia]

Size:21 KB
出典: フリー百科事典『ウィキペディア(Wikipedia)
担当:FIRTREE