http/CookieMonsterBugについて、ここに記述してください。
1. google 検索
ヒットするのは徳丸浩の日記が大部分だ。
徳丸本にも説明はみあたらない。/徳丸解説 twitterより
名前が悪い。 (bugと呼ぶことで、動作そのものが悪いといいたいらしい。)
2. なにを指すのか
よくわからない。この言葉を使っている人に説明をしてもらうしかない。
- 「Cookieが漏れだすこと」を指していることは間違いなさそう。
- それをbugと呼ぶのはどうか。でも、日本では定着しているという話もある。
調べた範囲では「Cookieが漏れだす状況が存在すること」を指しているようだ。
- Cookieの仕様(?)とブラウザの実装の両方に問題があるように見える。
http://blog.tokumaru.org/2011/09/jpcookie.html
- これを読むとブラウザの問題だけではないように読める。ドメインの構造まで含めているのか。
- 確かに、ドメインの構造によっては問題は起きないかもしれない。
"bug"も本来の意味とは違ってきているらしい。
- ハッカーのようにマスコミに登場するようになれば、あきらめもつくが。
https://twitter.com/#!/hasegawayosuke/status/127413827217276928
- なぜ、話が進まないとは? 現状認識の違いを放置したままで、話が進められると思う方がおかしいのではないか。
3. Suffix List
mozillaが持ち出した評判のよくない Public Suffix List をサポートしないのが、 徳丸氏により"Cookie Monster Bug"と呼ばれているものだと理解したが、正しいかどうかは ご本人に確かめてみるしかない。
ブラウザの脆弱性と言えるのかどうか。悪用できるからと言って、悪だと言えるのか。
- ブラウザの利用者や、webサイト運用者にとって都合の悪い動作であることは確かだが。
Cookieのdomain属性の仕様が悪いという立場もありえる。
4. web アプリケーション側の脆弱性
"Cookie Monster Bug" をもつブラウザ(IEなど)を使っているときに、 web サイトのアプリケーションに脆弱性があると、 セッション乗っ取りにつながる可能性もあるとか。
- Cookieをセッション管理に使うのだから、漏洩すれば、セッションを取られても必然と言える。
-- ToshinoriMaeno 2011-10-21 15:37:15
5. Cookie Monster vulnerability
- 2000年2月29日付の報告
(1) 送られてきたドメインとは異なるドメインに対して、ブラウザーからcookieが送り返されることがある。(情報の漏洩) (2) 同名のcookieによる妨害
6. 類似のもの
Cookie Injection Vulnerabilities http://www.westpoint.ltd.uk/advisories/wp-04-0001.txt
Cross-Domain Cookie Injection
By default, cookies are only sent to the host that issued them. There is an optional "domain" attribute that overrides this behaviour.
内容を的確に示しているという意味で 'Cross-Domain Cookie Injection' の方がいい呼び名だと思う。
Cross Security Boundary Cookie Injection
- secure option からみの話
7. 回避方法
Suffix List
8. 参考
当初のブラウザでは考慮されていなかったドメインの構造により脆弱性が発生した。
- 現状ではMozilla FirefoxなどはPublic Suffix Listにより回避することができるが、IEなどは対応していない。