futuremix

Westpoint Security Advisory によると、IE、Mozilla (Firefox)、Konqueror に、Cookie が他のドメインから読み出せる欠陥が見つかりました。(CAN-2004-0746, CAN-2004-0866,
CAN-2004-0867 ) Cookie は、有効範囲を .example.com としておけば、example.com と www.example.com、blog.example.com などで同じ Cookie を利用できます。これは便利な機能なのですが、トップレベルドメイン .com 全体に設定してしまった場合は、様々な .com ドメインで同一の Cookie を参照できてしまうので、これはできないようになっています。

また、同じように考えると .co.jp .ne.jp .co.uk .com.tw などのドメインもセカンドレベルの Cookie を指定できてはなりません。しかし、Mozilla は RFC に準拠しているが故に(?)、これらのドメインでも、セカンドレベルの Cookie を発行できてしまうようです。

Konqueror と IE は、.xx.xx のようなトップレベルとセカンドレベルが2文字ずつの場合は、Cookie を発行できないようになっています。また、トップレベルが2文字、セカンドレベルが、.com .net .org .gov .edu .int .mil の場合も同様です。ところがこれでは不充分で、.ltd.uk .police.uk といったドメインに対しては Cookie をセットできてしまいます。これらも本当はセカンドレベルでの Cookie の発行はできないのが理想です。

Cookie の発行元が有効範囲を間違えて設定しない限りは、他の悪意のあるサイトに Cookie を盗まれることはないので、そんなに深刻ではありませんが、悪意のあるサイト動詞が Cookie を共有することにより、ユーザの行動を追跡することが可能になってしまいます。思わぬところで個人情報が集約される可能性があります。

日本でも、tokyo.jp osaka.jp などの地域属性型ドメインというのがありますが、こちらも問題ありそうですね。特に個人は example.shinagawa.tokyo.jp とか 第四レベルに登録することになっていましたから、第三レベルまでの指定でも問題がありますね。まあ汎用jpドメインが導入されたので、いまだに使いづらい地域属性型ドメインを使っている人も少ないでしょうけれど。これを機に地域属性型ドメインは廃止したらどうでしょうかね。

また、Internet Explorer、Konqueror、Mozilla、Opera に、secure 属性のついた Cookie が特定の条件下で、SSL 以外でアクセスしているのに読み出せてしまう欠陥があるそうです。(CAN-2004-0869, CAN-2004-0870, CAN-2004-0871, CAN-2004-0872)

両方の欠陥とも、まだパッチは出ていません。対処法としては信頼できないサイトには近づかないようにするしかありません。

10月4日追記

日本の地域レベル属性ドメインでの問題については、Bugzilla にコメントしましたが、これは正しく理解してもらえるか心配。地域属性型ドメインは地方自治体も使っているから、電子申請などではセッションの乗っ取りは怖いですね。（大抵はクライアント証明書も使うはずですが。）