クッキーの設定について

>管理の甘いサイトでは、クロスサイト・
>スクリプティング（XSS）などで第三者に
>cookie（セッションID）を盗まれるケースもあります

>相手が信用できず、一切情報を渡したくない
>のならば、cookieそのものを設定されない
>（食わされない）ようにするしかありません

クッキーについて調べてましたら、上のような記事が見つかったのですが、「cookieを盗まれる」と具体的にどのような困る事があるのですか？

あと、「cookieそのものを設定されない（食わされない）ようにする」とありましたが、その方法はIEの「ツール」→「インターネットオプション」の「プライバシー」タブの「設定」を「すべてのCookieをブロック」にしとけば大丈夫でしょうか？
それより下の「高」や「中-高」では意味がないのでしょうか？

よろしくお願いしますm(__)m

No.2 ベストアンサー 回答者： noname#6461 回答日時： 2003/10/27 03:01

こんばんは、milmakeさん。

セッションIDを第三者に盗み取られると、
サービスに不正ログインされる可能性があります。
そのサイトでの登録内容次第で、個人情報漏洩などに繋がります。
特にクレジットカードの番号などを入力している場合は深刻です。

また、Cookieファイル自体に重要な情報が格納されている事があります。
このgoo(OKWeb)などの会員サイトのログイン画面で、
"パスワードを保存する"という設定を良く見かけると思いますが、
これはCookieを使って、IDやパスワードをPC内に記録する仕組みです。
試しにメモ帳でCookieのファイルを開いてみて下さい。
milmakeさんにとって好ましくない情報が記録されているかもしれません。
Windows2000/XPの場合、マイコンピュータの
アドレスバーに↓を入力するとCookieのフォルダに入れます。

　%USERPROFILE%\cookies

＞「すべてのCookieをブロック」にしとけば大丈夫でしょうか？
それより下の「高」や「中-高」では意味がないのでしょうか？

「高」以下では全てはブロック出来ませんね...。
完全にCookieをシャットアウトしたい場合は、
「全てのCookieをブロック」にしておいて下さい。

参考URL：
http://www.atmarkit.co.jp/aig/02security/crosssi …
http://www.atmarkit.co.jp/fsecurity/special/30xs …
http://internet.watch.impress.co.jp/cda/news/200 …

参考URL：http://koro.plala.jp/archi/security/browse2.php

この回答へのお礼

大変お世話になりますm(__)m
Cookieを甘く見ていました。
まさかそんなことまで出来るのとは・・・
クレジット番号の入力も注意したいと思います。
今回もとてもよくわかりました。有難うございました

お礼日時：2003/10/27 17:03

No.1 回答者： tarotokyojp 回答日時： 2003/10/27 02:33

あぶないサイトを渡る時は注意して、IEのインターネットオプションのプライバシーの設定をすべてのCookieをブロックにすると供に、インターネットセキュリティゾーンの設定も高にし自衛しています。

煩わしいポップアップやページ内の怪しいプログラムを働かせないためです。また、スパイ・ウェアの温床とならないように適宜Cookieの削除を実施しています。通常サイトと、ユーザ認証などの必要なサイトは既定の設定を使っています。

この回答へのお礼

やはりサイト毎にIEの設定は変えた方がよさそうですね！「ページ内の怪しいプログラム」はどこに仕掛けられてるかわからないですしね！ありがとうございました

お礼日時：2003/10/27 16:54