[PHP-users 9214] Re: IE and userData

Yasuo Ohgaki php-users@php.gr.jp
Wed, 07 Aug 2002 17:41:54 +0900


大垣です。

Yasuo Ohgaki wrote:
> 既に多くの皆さんは、ご存知とは思いますが、userDataを使うと、クッキー
> が無効であろうとなかろうとクッキー以上のトラッキング性を確保できる
> ようです。
> 
> # userDataでいろいろできる、とは聞いていましたが、ここまでとは
> # 知りませんでした。これは仕様?
> # Microsoft社のWebサイトでは"クッキーより強力"と解説している
> # そうです。
> 
> サンプル
> http://www.xs4all.nl/~jkuperus/cookies.htm

以前どんな形で議論されたかURLをポストされた方いたので
張り付けておきます。

http://online.securityfocus.com/archive/1/81340
http://online.securityfocus.com/archive/1/81337
http://slashdot.org/article.pl?sid=00/09/11/2243224
http://news.com.com/2100-1023-245556.html?legacy=cnet&tag=st.ne.1002.tgif.ni

slashdot.orgのポストは案外、どうでも良いのでは?という意見が
おおかったようですね。

任意のクッキー取得できる不具合と比べれば、userDataで他のドメイン
の永続的なデータが読めることはまだましですが、問題ありです。

> この他にも、passport/hotmailのアカウント名取得、任意のクッキーの
> 取得、SSLの盗聴を可能にする問題などがIEには残っています。

SSLの盗聴は2000年にレポートされた問題ですが、たまたま今日、同じ
報告がでてました。

MSはこの不具合を一旦修正して、その後また不具合が復活したという経緯
があります。最新版ではどうかな?と思っていたのですが、やはり盗聴で
きるようです。

安全なWebサービスの提供というくらいしかPHPに関わりがなく、オフト
ピックなのでこれくらいしておきます。

--
Yasuo Ohgaki