アカウント名:
パスワード:
まず、大元のコメントについてですが、hiddenにセッション(ID)を入れていて、それが漏れるだけでセッションハイジャック可能なつくりになっているサイトは、クッキーにセッションIDを入れたとしても、それが漏れれば同じようにセッションハイジャック可能だと思います。セッションIDは最低限クライアントのIPアドレスぐらいとは紐付けしておいて、安易なハイジャックの可能性は排除するものなんじゃないでしょうか。そういう意味ではセッションを乗っ取られる危険性についてはどっちもどっちだと私は理解しています。
クッキーのほうがより堅牢なサイトを作れると言う情報があったら認識を改めますので、ぜひ教えてください。(無いだろうという皮肉ではなく、これまで作ってきたものや、これから作るであろうものに対する責任とか考えると結構切実なので。)
で、将来の可能性は置いておいたとしても、現状hiddenフィールドの値とクッキーの見られやすさというのは「両者はほぼ同じ」じゃないでしょうか。
httpの盗聴については2倍の確率だという主張はできますが、通信のタイミングと流れを考慮に入れれば、その主張にあまり意味が無いことは理解していただけるかと。
蛇足ですが、A>Bとなるのは、httpsなページでクッキーを利用していてsecureフラグをつけていない場合、でしょうか。
--- hidden信者ではないが、クライアントに「hidden禁止」と言われると非常に困る
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
定量的評価頼む (スコア:0)
定性的な話だと、声の大きい方、小難しいクラック法より分かりやすい方が勝っちゃいます。そして反論は人格攻撃で却下される(つーか名誉毀損ちらつかされてる。なんて未熟な業界だ)。
特に金床氏はセッション鍵を hidden に入れる潜在的リスクを言いたいようだから、CSSXSS なんて出さずともそういう攻め方でできるはずなのに。
CSRF によるリスクは
Re:定量的評価頼む (スコア:0)
Cookieが漏洩する確率 (A)
hiddenパラメータが漏洩する確率 (B)
両者がほぼ同じか、A > B ならば、「hidden にセッション鍵を入れるような対策は間違っている」は間違いだと結論付けられます。
Re:定量的評価頼む (スコア:1)
A>Bになることなんてあるんでしょうか?
(オフトピ)クッキーとhidden (スコア:1)
まず、大元のコメントについてですが、hiddenにセッション(ID)を入れていて、それが漏れるだけでセッションハイジャック可能なつくりになっているサイトは、クッキーにセッションIDを入れたとしても、それが漏れれば同じようにセッションハイジャック可能だと思います。セッションIDは最低限クライアントのIPアドレスぐらいとは紐付けしておいて、安易なハイジャックの可能性は排除するものなんじゃないでしょうか。そういう意味ではセッションを乗っ取られる危険性についてはどっちもどっちだと私は理解しています。
クッキーのほうがより堅牢なサイトを作れると言う情報があったら認識を改めますので、ぜひ教えてください。(無いだろうという皮肉ではなく、これまで作ってきたものや、これから作るであろうものに対する責任とか考えると結構切実なので。)
で、将来の可能性は置いておいたとしても、現状hiddenフィールドの値とクッキーの見られやすさというのは「両者はほぼ同じ」じゃないでしょうか。
httpの盗聴については2倍の確率だという主張はできますが、通信のタイミングと流れを考慮に入れれば、その主張にあまり意味が無いことは理解していただけるかと。
蛇足ですが、A>Bとなるのは、httpsなページでクッキーを利用していてsecureフラグをつけていない場合、でしょうか。
---
hidden信者ではないが、クライアントに「hidden禁止」と言われると非常に困る
Re:(オフトピ)クッキーとhidden (スコア:0)
Re:定量的評価頼む (スコア:0)
Cookieの場合、HTMLというわけではないので、違う処理に分離しやすいので、対処も管理も比較的楽なのかもしれませんね。
反面、hiddenはHTMLの中にありますので、なんらかの原因で読み取ることも、比較的起き易いと言えるのかもしれません。実装もかなり注意しないと。実際、今回のも仕様に絡むバグですし、せめてこの機能だけでもオフできるようになっていれば・・・。
よく、Cookieだって漏洩するだろうという反論を見かけます
Re:定量的評価頼む (スコア:0)
Cookie も見られるのが当たり前な情報ですよ。ご存じないのでしょうか。そういう認識で Cookie を使うのは危険ですね。
> A>Bになることなんてあるんでしょうか?
Cookie は漏洩するが hidden は漏洩しないという脆弱性は過去に何度もありましたね。IE にもあったし、Netscape にもあった。