さくらｲﾝﾀｰﾈｯﾄ　質問にﾏｼﾞﾚｽするｽﾚ Part17

さくらｲﾝﾀｰﾈｯﾄ　質問にﾏｼﾞﾚｽするｽﾚ Part17 at HOSTING

505:名無しさん＠お腹いっぱい。
09/02/07 04:01:40 P
ちなみに、>>500 のFAQでCookieの送信範囲を限定したところで無駄です。

確かに、それをやれば「サイトA」のCookieが、悪意のある「サイトB」に自動送信されることはなくなりますが、
悪意のある「サイトB」がインラインフレームで「サイトA」を表示させ、JavaScriptを使って「サイトA」に対して送信するCookieを
間接的に取得することが可能です。（インラインフレーム内のコンテンツを、親ページからJavaScriptで操作できます）

JavaScript ではセキュリティ上、クロスドメインのデータ取得等が制限されていますが、
ディレクトリが違ったとしても、同じドメインでしたら、データの取得は一切制限されません。

なお、URLﾘﾝｸ(www.example.com) と URLﾘﾝｸ(www.example.com) の間のアクセスは一切制限されませんが、
なお、URLﾘﾝｸ(A.example.com) と URLﾘﾝｸ(B.example.com) の間のアクセスは一切制限されますので、サブドメイン方式は安全です。

あと、共有SSLにはセキュリティを高める効果は全くありません。

「安心感」という素人への心理的効果も怪しいです。
鍵マークで安心できる人を安心させる効果はあるかもしれませんが、
親サイトと異なるドメインに飛ばされることに不信感を感じる人もでてくるのでは？

サイトのURLとSSLページのURLが異なるわけで、偽サイトでないかどうかを利用者が確認する方法がないわけですから。
通信が傍受される状況というのは、通信の改ざんができてしまう状況であり、
URLﾘﾝｸ(www.example.com) のSSLページの本物が URLﾘﾝｸ(secure101.sakura.ne.jp) なのか、
URLﾘﾝｸ(secure.buttobi-net.jp) なのかはサイトアクセスにアクセスする一般ユーザからは判別できません。
URLﾘﾝｸ(www.example.com) であるべきでしょう。

次ページ

続きを表示

1を表示