2015/09/30

クッキーの脆弱性が判明: HTTPS のセキュリティを突破する、攻撃が成り立ってしまう!
今頃何を言ってんだこの人たちは。いまどきcookieの無いサイトなんて無いぞ。どうするつもりなんだろう。「このクッキー侵入攻撃に対する緩和策としては、完全な HSTS プロテクション/トップレベル・ドメインと共有ドメインに関するサフィックス・リストの公開/その機能を定期的に無効にしていくようなクッキー防御のプラクティス/ステート・マネージメント設定が有効性を確認するための異常検出などが挙げられる。」って、脅威緩和策が何ら無いのと同じじゃん。専門家の集合体なんだろうから、実害が出る前になんとかしてよね。