経産省、ショッピングサイトなどでの Cookie 盗聴を警告

この記事のURLhttp://japan.internet.com/ecnews/20030812/4.html

経済産業省商務情報政策局情報セキュリティ政策室は2003年8月11日、 独立行政法人産業技術総合研究所が発行したテクニカルレポートで、 「ショッピングサイトや各種予約サイトなどで提供されるサービスで、 SSL を利用していてもユーザーの cookie が第三者に盗聴され、 重要な情報が漏えいする可能性がある」と指摘していることを受け、 日本情報処理開発協会、電子商取引推進協議会、 情報サービス産業協会、電子情報技術産業研究会、 日本通信販売協会に対し､ セッション管理に cookie を使用し、SSL/TLS のような経路のセキュリティ保護を行っている Web アプリケーションでは、 クッキーを secure モードで発行するよう通知した。

SSL/TLS を用いて cookie を部外者に見られないようにしても、 同じ Web サーバーに SSL/TLS 通信で見るページ（https://...）と SSL/TLS 通信を使わないで見るページ（http://...）が混在している場合、 Web ブラウザは、SSL/TLS 通信を使わないページを見るときでも、 cookie を預けてきた Web サーバーに対して cookie を送ってしまう。 このクッキーは、 ネットワーク通信を傍受した第三者に漏えいする可能性があるとのこと。