クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される | 徳丸浩の日記

2013/03/01 104 users 徳丸浩 CSRF対策 CSRF ITpro 誤認逮捕

2013年3月1日金曜日 クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される 日経Linux 2013年1月号に「“誤認逮捕”を防ぐWebセキュリティ強化術」を書き、それが今週4回連載で、ITproに転載されました。この中で、クロスサイトリクエストフォージェリ(CSRF)対策について説明しましたが、クッキーモンスターバグ(Cookie Monster Bug)がある場合... 続きを読む

徳丸浩の日記: 属性型JPドメインと地域型JPドメインに対するCookie Monster Bug調査

2011/10/12 64 users 徳丸浩 セッショ 日記 ブラウザ 複数

2011年10月12日水曜日 属性型JPドメインと地域型JPドメインに対するCookie Monster Bug調査 属性型JPドメインと地域型JPドメインに対するCookie Monster Bugについて調査した結果、複数のブラウザにおいて、これらドメイン名に対するCookie Monster Bugがあることがわかりました。 Cookie Monster Bugによる典型的な影響は、セッショ... 続きを読む

私はいかにしてOperaブラウザのCookie Monster Bugを確認したか - ockeghem(徳丸浩)の日記

2011/09/28 33 users domain ockeghem 徳丸浩 Operaブラウザ

昨日の日記「徳丸浩の日記: 都道府県型JPドメインがCookieに及ぼす影響の調査」にも書きましたが、Operaブラウザの最新版（11.51）には、地域型ドメインの場合にCookie Monster Bugがあります。以下は、三重県の志摩市のドメイン(www.city.shima.mie.jp)上で domain=mie.jpのCookieをセットした様子です。この状態で三重県津市(www.inf... 続きを読む