昨日指摘したcookie漏洩問題の続報。
3/14 富貴寺にて |
高木浩光氏の指摘[memo:7373]によるとInternet Explorerの修正版やOpera 7.20 以降を使ったとしても、JavaScriptによるcookie漏洩の危険性は避けられないそうだ。
JavaScriptによるcookieアクセスはpathでは制限できないというセキュリティドメインの仕様から、同じサーバー(ホスト)内におけるcookie漏洩の問題は防げない、というのはかなり痛い指摘だ。
って事は何かい、ib-center.gr.jpやanser.or.jp、cyber-biz.ne.jpなどを使ってるインターネットバンキングではcookie漏洩の危険を回避して使う事ができないって事じゃないですか? ハードディスクに保存されないセッションcookieで、なおかつ漏洩したcookieを取得できるのも事実上銀行に限られる、と言えどもかなりイヤな感じだ。
そもそもアウトソース形式のインターネットバンキングではアドレスバーを非表示にしたり右クリックを禁止しているサイトが多く見受けられるが、キーボードの[SHIFT]+[F10]で右クリックの代替ができる事を知らないのだろうか?そういう粗忽なベンダーにセキュリティドメインについての仕様を問う、というのも酷だろうなぁ。
やっぱ、銀行の独自ドメインで運用していないインターネットバンキングは「危なくて使えない」と言わざるを得ない。