[PHP-users 28634] Re: クッキーにメールアドレスを保存するリスク、Session Fixation （was Re: MD5の仕組みについて)

[Yasuo Ohgaki]

大垣です。

Yasuo Ohgaki wrote:
> 例えば、共有PCではメールアドレスがクッキーとして保存されるのは*現実的*な
> セキュリティ上のリスクといえます。
> 
> 色々な悪用方法が考えられると思いますが、Phishingには利用しやすいでしょう。
> メールアドレスが判り、クッキーの有効期限等からPCを利用していた時間も判りま
> す。サイトのアドレスもわかっているので、スピアフィッシングには最適な情報
> です。

ついでなので別の攻撃例も紹介します。

もっと直接的な攻撃方法としては、ブラウザに保存されたパスワードを利用する攻撃も
考えられます。私はWebサイト毎にパスワードを変えていますが、一般的なユーザは同じ
パスワードを利用しています。メールのパスワードとWebサイトのパスワードも同じユー
ザも世の中には多数存在すると思われます。Webサイトと同じパスワードをメールに使用
しているとスパムメール送信の踏み台等に利用されてしまいます。

メールのパスワードが分かってしまうと、Webサイト毎にパスワードを変えていてもアカ
ウントを乗っ取られるリスクが発生します。パスワードのリセットリクエストを送信す
るだけでパスワード更新用のメールが送信されるサイトの場合、メールアカウントを乗っ
取られると、サイトのアカウントまで乗っ取られるリスクが発生します。

-- 
Yasuo Ohgaki