在安全模式下使用Cookie

2003-08-23, 06:17 PM

日本經產省呼籲：在安全模式下使用Cookie

2003/08/19

　　【日經BP社報道】 2003年8月11日，日本經濟產業省商務資訊政策局資訊安全政策室宣佈：已經向日本國內的Web站點運營商和開發商等團體發出通知，希望採取相應對策以防他人通過竊聽Web應用而實施冒充。

　　該問題是由日本獨立行政法人產業技術綜合研究所的高木浩光等人指出的。也就是說，在通信有可能被竊聽的互聯網環境中，如果不正確使用Cookie加密功能（即安全模式），那麼第三者就能夠通過竊取Cookie，冒充正常使用該Cookie的用戶進行訪問。安全模式下的Cookie只有訪問經過加密的HTTPS頁面時才會被發送給用戶。但如果不是安全模式，那麼由於用戶訪問未經加密的HTTP頁面時Cookie也會被發送給用戶，因此就有可能被人竊取。

　　據高木等人對25家著名EC站點進行的調查結果顯示，有2個站點Cookie的使用很安全，而20個站點則沒有在安全模式下使用，有可能被竊聽並冒用。剩餘的3個站點在網路管理中沒有使用Cookie。

　　作為對策，高木等人提出了如下2種方法：（1）在全部頁面中使用HTTPS，並將Cookie設置為安全模式；（2）分別使用2種Cookie。也就是說，所提出的2種方法是指：除HTTP頁面上發佈的Cookie以外，還在HTTPS頁面上發佈安全模式下的Cookie。

　　同時，日本資訊處理振興事業協會安全中心也就此類問題發出了警告。（記者：高橋信賴）

2003-08-23, 06:17 PM	#1
kkao 榮譽勳章勳章總數 UID - 在線等級: 文章: n/a 精華:	在安全模式下使用Cookie 日本經產省呼籲：在安全模式下使用Cookie 2003/08/19 　　【日經BP社報道】 2003年8月11日，日本經濟產業省商務資訊政策局資訊安全政策室宣佈：已經向日本國內的Web站點運營商和開發商等團體發出通知，希望採取相應對策以防他人通過竊聽Web應用而實施冒充。　　該問題是由日本獨立行政法人產業技術綜合研究所的高木浩光等人指出的。也就是說，在通信有可能被竊聽的互聯網環境中，如果不正確使用Cookie加密功能（即安全模式），那麼第三者就能夠通過竊取Cookie，冒充正常使用該Cookie的用戶進行訪問。安全模式下的Cookie只有訪問經過加密的HTTPS頁面時才會被發送給用戶。但如果不是安全模式，那麼由於用戶訪問未經加密的HTTP頁面時Cookie也會被發送給用戶，因此就有可能被人竊取。　　據高木等人對25家著名EC站點進行的調查結果顯示，有2個站點Cookie的使用很安全，而20個站點則沒有在安全模式下使用，有可能被竊聽並冒用。剩餘的3個站點在網路管理中沒有使用Cookie。　　作為對策，高木等人提出了如下2種方法：（1）在全部頁面中使用HTTPS，並將Cookie設置為安全模式；（2）分別使用2種Cookie。也就是說，所提出的2種方法是指：除HTTP頁面上發佈的Cookie以外，還在HTTPS頁面上發佈安全模式下的Cookie。　　同時，日本資訊處理振興事業協會安全中心也就此類問題發出了警告。（記者：高橋信賴）
kkao 榮譽勳章勳章總數 UID - 在線等級: 文章: n/a 精華:
	送花文章: 0, 收花文章: 0 篇, 收花: 0 次

Google 提供的廣告