どうも、言葉だけが独り歩きしていて、一般の人からすると
『とんでもないすごい技術』
と思われているフシがありますが、まともなエンジニアならば、というか
今時そんな穴を作ってお金もらっているような『マヌケ』なシステムがそ
うそうあるとは思え無いのが、現時点の常識です。
まず、たとえ存在していたとしても、パスワードがそのまま漏れる事はあ
りません。漏れるとしたら、一時的なパスワードがクッキーの中に入って
いるので、それが漏れる可能性はあります。しかし、現在ではそれさえも
防御する事をエンジニアは普通に考えていますし、ブラウザ側でもそれは
封鎖されつつあります(設定変更でもしないかぎりXSSは起こりません)。
というか、お金を扱うサイトでログインを継続できるとしたら、普通自信
を持って対策を講じているはすです。例えば Google とか。
今はそんなに甘く無いのです。
そりゃあ、数年前に実際にお金は扱わないですが、クッキーの中にパスワ
ードが裸で置かれていたシステムを知っていますが( その時忠告しました )
世の中の WEB サービスは、広告収入で成り立っている場合、システムは
それほど優れたものではない可能性が多いです。
個人とか、小さな会社である事もあるので。
ですから、カード情報がどこに保存されるか・・・という事には神経尖ら
せたほうがいいと思います。
カード情報は、可逆のデータで保存されますから。
★ クロスサイトスクリプティングで盗まれるのはクッキー情報
★ クッキー情報は、間接的または一時的なもの(情報)である
★ 盗まれても使え無いように考慮されてある
★ 最新のブラウザでは、自分のサイトに自分で埋め込んでも XSS は動作しない
関連する記事
SQLインジェクションなんて普通起きないはずなんです
『会員IDやパスワードが第三者によって不正に抜き取られた』とはどういう事か
posted by
at 2012-01-01 17:27
|
Comment(0)
|
知恵メモ : ネットセキュリティ
|
|