[PHP-users 28634] Re: クッキーにメールアドレスを保存するリスク、Session Fixation (was Re: MD5の仕組みについて)
Yasuo Ohgaki
yohgaki @ ohgaki.net
2006年 3月 6日 (月) 21:29:26 JST
大垣です。
Yasuo Ohgaki wrote:
> 例えば、共有PCではメールアドレスがクッキーとして保存されるのは*現実的*な
> セキュリティ上のリスクといえます。
>
> 色々な悪用方法が考えられると思いますが、Phishingには利用しやすいでしょう。
> メールアドレスが判り、クッキーの有効期限等からPCを利用していた時間も判りま
> す。サイトのアドレスもわかっているので、スピアフィッシングには最適な情報
> です。
ついでなので別の攻撃例も紹介します。
もっと直接的な攻撃方法としては、ブラウザに保存されたパスワードを利用する攻撃も
考えられます。私はWebサイト毎にパスワードを変えていますが、一般的なユーザは同じ
パスワードを利用しています。メールのパスワードとWebサイトのパスワードも同じユー
ザも世の中には多数存在すると思われます。Webサイトと同じパスワードをメールに使用
しているとスパムメール送信の踏み台等に利用されてしまいます。
メールのパスワードが分かってしまうと、Webサイト毎にパスワードを変えていてもアカ
ウントを乗っ取られるリスクが発生します。パスワードのリセットリクエストを送信す
るだけでパスワード更新用のメールが送信されるサイトの場合、メールアカウントを乗っ
取られると、サイトのアカウントまで乗っ取られるリスクが発生します。
--
Yasuo Ohgaki
PHP-users メーリングリストの案内