Googleなど大手サイトのcookie転送に問題発覚、認証かわされる恐れ @ ITmedia News
多くのサービスでは、ユーザーが一度ログインを行えば、次回からログイン(IDとパスワードの入力)を省略するような機能を採用しているところが多いですが、その方法の一部で問題があるとのこと。
要するにログイン時はSSLによる暗号化通信の元でIDとパスワード、そして正常にログインがされた事をCookieに書き出すやり取りが行われるが、その後のやり取りで非SSL環境の通信しかしない場合は、Cookieの中身が通信上にプレーンで流れてしまう。
Cookieを用いて、初回以降に自動的にログインさせるには、初回のログイン成功時にCookieに何らかの認証成功(セッション)情報を書き出しておきます。
次回のアクセスは、そのセッション情報がCookieにあれば認証を飛ばしていきなりサイト内にアクセス可能になるわけですが、その通信が非SSL環境であれば、Cookieを傍受されてしまうとセッションハイジャック(誰かの認証成功の情報を奪い取って、その人に成り代わってサイトが利用できる)が可能になってしまうと言う事です。
この記事では、ユーザー側の対策としてログインページだけでなく、サイト全体がSSL通信を行っているサイトを利用するようにとありますが、こればっかりはサイト側の仕様になりますので、次回以降のログイン処理を省略する機能を使わないというのも一つの手かと思います。
(もちろん、ログインページがSSL環境下である事は必須ですが)
「パスワード何個持ってますか? 」で書いたような、ログインIDとパスワードをローカルに保存してくれてログインページで自動的にそれを埋め込んでくれるツールを使えばさして手間にはならないかと思いますし。
今回の問題点は、以前からIPA ISECのサイト でも取り上げられていますので、Webサイトの管理者は問題点や対応について目を通しておいた方が良いかもしれません。