加藤(大阪)です。 Sat, 27 Jul 2002 23:06:06 +0900 付 Masaki SHINOMIYA <shino@xxxxxx> さんのメールより: > VinePlus/2.1 に mozilla-1.0.0-9vl4 > VineSeedに mozilla-1.0.0-9vl5 > をそれぞれ srpmとi386をputしました。 > > デフォルトでcookieを読まない設定としたものです。 シノバーさんご苦労さまです。 ML に参加していない、mozilla の設定なぞ触らない、しかしaptは使う、と言う ユーザーも結構おられるでしょうから、ありがたいことです。 Sun, 28 Jul 2002 02:08:32 +0900 付 Takashi Matsuo <t-matsuo@xxxxxxxxxxxxx> さんのメールより: > javascriptで、そのサイトのcookieを読み出せるかどうかということですね > > だからcookieを使用しないこととはかなり違いますよ > > 「cookieを読む」のチェックをはずしても、いつも通りcgiとか > servletにはcookieを送信すると思います。 > > #それとも巷のサイトにはjavascriptでcookieを読む必要があるサイトが > #多いのでしょうか? 今回のバグの問題点は、このバグを衝いて、web ページにアクセスした人の保管している cookie を java-script を介して盗み得る、と言うもののようです。 http://online.securityfocus.com/archive/1/284012 の EXPLOIT: --- CUT HERE --- の部分を html に埋めこんで実験してみたところ。 f.location = "javascript://www.google.com/\n"+ の url 部分を書き換えれば、自分の PC に保管されている 該当 url の cookie 情報が 表示され、mozilla の設定を変えれば表示され無くなるのが確認できました。 従って、cookie の操作に java-script を使うか cgi を使うかに拘わらず、シノバーさん がして下さった事は充分有効だと思います。 それとは別に、cookie の自己管理にもたまには目を向けるべきでしょうが・・・ --- 加藤 雅 <mkato@xxxxxxxxxxxxx>