あるサイトのクッキーを別のサイトで利用・・

Question

たとえば、yahooオークションを利用していて、出品したりしているとします。おそらくクッキーなど利用されているかと思います。

そして、他の関係ないサイトを訪問した際に、その管理者がやろうと思えばyahooオークションで登録されたクッキーを取得したりできるものですか。

＃そんな風に情報が筒抜けになっているのかな・・とふと思ったもので。

noname#5179 · Accepted Answer

>Webサーバは自分が保存させたCookieしか読み出せないので
たしかにそのサイトでしかcookieは読み取れないような仕様となっていますが、実際には大きな問題が生じていますよ。


しかし、クライアント（IEやoperaなど）の問題と、サーバーの問題によって、他のサイトからでも見れてしまう問題が生じています。
どちらも古いバージョンではセキュリティホールがあって、他のサイトがcookieを読み取れてしまいます。また、サーバーの側では設定を間違えると問題が生じてしまいます。



この問題は、「CSS（クロスサイト・スクリプティング）脆弱性の中のひとつ」言います。
クロスサイトスクリプティング脆弱性で検索するとたくさん見つかります。

昨年くらいから非常に大きな問題となっています。

サーバー側のクロスサイトスクリプティング脆弱性は、おっしゃられているyahoo.co.jpでもあったようです（オークション以外のサービスでした。）し、mytrip.netという大きなサイトでもありました。SONYが運営しているwww.percastv.netでもありました。
挙げるときりがないくらいたくさんのサイトで問題が見つかりました。
商用サイトでもたくさんみつかりました。非常に危険なところでは、銀行のサイトでも見つかっています。


昨年くらいから問題となり多くのサイトがこの修正を急いでいる状況です。
ただし、すべてのサイトが個人情報を盗めるほどのひどい問題があるわけではないようですが、個人情報が流れてしまうようなところも意外と多く見つかったようです。



http://www.watch.impress.co.jp/internet/www/article/2001/1024/ipa.htm
高木 浩光氏の調査発表と書かれているのが詳しく載っています。
ただしちょっとだけ難しいです。



ところで、cookieですが、これを認証に使っている場合、cookieそのものに個人情報がなくてもそれを使ってサイトにログインすることで、個人情報をひきだせますので、cookieの取り扱いは非常に重要ですよ。

>確かにクッキーを嫌う人なんかは、クッキーの受け取りを拒否する設定
>にしたり、定期的にクッキーを削除したりしています。
これをすると文化庁のホームページは見ることさえできない、WEBメールが見れないなどさまざまな問題が生じますので、嫌いな人でも拒否する設定にできないことが多々あります。

KaGaToGX · Answer

#2 の回答で
＞それから、Webサーバは自分が保存させたCookieしか読み出せないので、心配なさらなくても大丈 夫です。
とありますが、
セキュリティパッチ（修正プログラム）を適用していないIEや、セキュリティホールの確認されている一部のバージョンのOperaやNetscapeなどを使っている場合、クッキーを読み取られてしまう可能性は十分あります。
これはセキュリティホールによるモノなので、クッキーの仕様云々とは無関係に発生する問題です。
つまり、訪問者がセキュリティホールのあるブラウザを利用していれば、悪意のある第3者（他のサイトの管理者）がクッキーを取得することは可能です。

また、
＞クッキーそのもに個人情報はないので
と言うのも誤りで、
クッキーにはサイトの作成者が任意の情報を記録させることが可能なので、出来の悪いWebサイト（ショッピングサイトなど）では会員IDやパスワード、メールアドレスなどの個人情報がそのままクッキーに記録されている場合が多々あります。この場合、個人情報やクレジット番号の流出などの危険が十分にあります。
（幸いご質問のYahooでは個人情の類は記録されていないようですが）

要はセキュリティパッチはこまめに適用しておけってことですね。

参考URL：http://www.microsoft.com/japan/technet/security/bulletin/ms02-023ov.asp

zero_21 · Answer

No1のzero_21です。
クッキーそのもに→クッキーそのものに
の間違いでした。失礼しました。
それから補足ですが、クッキーには有効期限が設けられています。
それから、Webサーバは自分が保存させたCookieしか読み出せないので、心配なさらなくても大丈夫です。
仮に、ハッキングされてクッキーそのものが盗まれるなんてことも考えられますが、その場合、それ以前の問題ですね。

zero_21 · Answer

クッキーそのもに個人情報はないので、基本的に無理です。
yahoo側で作成したクッキーは他のサイトの管理者からすれば意味不明なファイルです。
確かにクッキーを嫌う人なんかは、クッキーの受け取りを拒否する設定にしたり、定期的にクッキーを削除したりしています。

あるサイトのクッキーを別のサイトで利用・・

>Webサーバは自分が保存させたCookieしか読み出せないので

#2 の回答で

No1のzero_21です。

クッキーそのもに個人情報はないので、基本的に無理です。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング