koyhogeによる
2001年11月07日 3時42分の掲載
ほんとにそんなことして大丈夫なんか部門より。
ほんとにそんなことして大丈夫なんか部門より。
IDGのレポートによると、欧州議会はHTTPで使用されるcookieを違法とするかどうかについて、11月13日に採決する模様。サイトを開いている企業が、cookieを使用することによって、本人に知られることなく個人情報を収集できるのが、プライバシーの侵害であるというのがその根拠だ。
確かにクロスサイトスクリプティング問題などによって、cookieの危険性が指摘され始めている。しかし、状態を持たないHTTPではcookie等のサポート手段がないと、Eコマースで使われるような複数ページにまたがる処理が行えないのも事実。
どうなるか成り行きが注目される。
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
プッツンしているだけな気も (スコア:2, 興味深い)
↑
ここがCookie送りつけてんです…。
-- unicodebetrayer@gmail.com
http自体が (スコア:2, 参考になる)
http自体がセッションを意識してないのに、 cookieやらなんやらで無理矢理やってるってのが、問題ですよね。これで、80番以外のポートを利用していこう、という流れになればいいのになぁ。
けど、法で禁止まではしなくていいと思うけど。。
raspy
Re:http自体が (スコア:2, 興味深い)
#何番ポート使っても同じですよねよね?
てゆーか、Object指向的(笑)に言えば、
メソッド呼び出しのチェーンだけでなんでもやろうとすると場合によっては無茶なんで、
Commandオブジェクトをキューに覚えておいてもらって後でCommandをリプレイする、という構図は
よく使うわけですよね。ここでいうキューの役割はwwwブラウザが果たすわけです。勘合符。
プライバシだかなんだかを考慮した次世代Cookie仕様を作る、くらいが
落とし所じゃないんでしょうか?
それが原理的に無理だとすると、逆にいえば
疎結合(チェーンを使わず勘合符Objectを使う)の不特定多数ユーザー向けリモートアプリは
全部無理ってことになる、だけっすかね。
ーーーー
ところで更にOOP的に考える(ぉぃ)と、
なんでユーザー側にはブラウザという「唯一の」Objectしか与えられていないの?
という疑問も、生じます。
これが複数有れば、そのうちの1つが「汚染」されても、それを捨てるなり
他の新鮮な奴に交換するなり、すれば良いだけ。
複数のブラウザをPCにInstallしといて、Cookie「を」使い分けるためにブラウザを使い分ける、
ってこと、しませんか?
俺も時折スラドをアクセスするために(笑)やります。AC書き込みは(何故か)してないけど。
#てゆーかスラドのためにw3mをCookieつきでmakeし直した(笑)
MSIE風に喩えて言うならば、InternetShortcut「に」Cookieが記録される、という形で、
ユーザーがワンタッチで「サイトへのアクセス」の単位という「Object」を使えるように
すりゃいいのかなーと。
素でIEのアプリアイコンを叩いて起動したら何もCookieを覚えていない状態で起動する。
URLとCookieを塊にして覚えているアイコンをIEにDropしたら、そのURLにアクセスし、
そのURLに関連づいたCookieが更新されたらそのアイコンのObjectに書き戻す。
#「サイト」の単位をどう決定するか?が問題だろけど。
親コメント
Re:http自体が (スコア:2)
状態を表現する方法を参考にすることは
できないんでしょうか。
第5世代コンピュータで何かうまい方法
出てなかったのかな。
親コメント
Cookieなしでセッションの維持は・・・ (スコア:2, 興味深い)
クロスサイトスクリプティングって設計をきちんとすれば防げるという認識をしているのですが、間違っているでしょうか?Cookieの問題点はクロスサイト~だけじゃないとは思いますが、無いと困るんですよね。
セッションを使用するサイトを使っていると、Cookieを使っているのか、クロスサイト~の検証はされているのか等々確かに気になります。禁止する前に(商用サイト。特に金融系に)そういう情報の表示を義務付けた方がよいのでは?
#ただ、Cookieどーのこーのを読んでどれだけのヒトが
#理解できるかは疑問ですが。
皆さんはセッションの維持ってどうされているのですか?? > 開発者の方々
Re:Cookieなしでセッションの維持は・・・ (スコア:2, 興味深い)
これは、「Aタグでリンクすると、GETになっちゃうのでPOSTできない」って意味ですよね。
J(ava)Scriptを使わないという条件ですと、そうなります。(たぶん)
で、私はそうしてます。(;_;)
はい。使いません。
サーバーサイドで、GETかPOSTかをチェックして、GETの場合はエラーページを表示してます。
これも、J(ava)Scriptを使わないという条件ですと、(たぶん)そうなります。なるべく、デザイン段階で工夫する必要があります。
...この方法ですと、
など、他にもヤなことが色々ありますよね。 ですから、ここまでするニーズがない限り、あまりお勧めはできません。(^^;;
他に、何か良い方法はないもんですかね。
--- Melloques Les Covdrasey ---
親コメント
i-modeでもそうなんだけど (スコア:2, 参考になる)
--------------------
/* SHADOWFIRE */
CookieなしのWebアプリケーション? (スコア:1, 興味深い)
CookieなしだとURL Rewriting...?
そんなんで、Webアプリを書けっていわれるとぞっとするね。
Re:CookieなしのWebアプリケーション? (スコア:3, 参考になる)
参照: INTERNET Watch: 電子技術総合研究所がフリーメールサイト7社のセキュリティホールを指摘
親コメント
たとえば (スコア:1, すばらしい洞察)
cookieそのものを禁止されたとして、ますますJavaとかの利用に拍車がかかるかも知れませんね。
それはそれでまた、面白い話かもしれないし、ビジネスチャンスとも見える。
Re:たとえば (スコア:2)
それを見越してのWinXPアクティベーションだったのかもしれませんね。
景気なんて飾りです。偉い人にはそれがわからんのです。
親コメント
Re:たとえば (スコア:2, 興味深い)
親コメント
Re:たとえば (スコア:2)
などなど電気会社の大手は、8台前後のProxyを設置しておられます。一定時間、IPアドレスでクライアントを特定しておくというのは、無理があります。
親コメント
IDGのレポートを読む限り (スコア:1)
ちゃんとユーザーに情報を提供し、自発的な同意が得られれば使う事も出来るとなってますね。
どういう文面であれば十分な情報提供になるのか、またどういう形であれば自発的な同意と見なされるかという件については専門外なのでわかりませんが、普通のサイトであれば技術的に問題に問題になる事はあまりないような気もします。
ブラウザのデフォルトを変えればいいのでは (スコア:2)
クッキーの存在が悪いのではなく、一般ユーザはデフォルト値しかつかわんのだから、そこがセキュリティホールにならないようにしてほしいのです。クッキーだけじゃなく、JAVAスクリプト等も同様。
機能制限に関するブラウザの対応状況
親コメント
Re:ブラウザのデフォルトを変えればいいのでは (スコア:4, 参考になる)
Mozilla は GUI が用意されていないだけで、JavaScript はかなり細かく制御可能です。複雑すぎて、現段階ではいい UI を設計できていないから実装できない、という状態かと思います。1.0 までに UI ができるといいですね。
Mozilla では、サーバレベルでポリシーを任意の数だけ定義し、ポリシーレベルで JavaScript の利用可否を選択できます。制御可能なレベルはメソッド/プロパティ単位。window.open() だけ禁止、なんてのも可能です。そもそも Window オブジェクトへのアクセスを全部止める、というのも簡単にできます。
標準では JavaScript を off にし、信頼できるサイトに使っても良いメソッドやプロパティへの参照を許可する、という形にするのが一番でしょう。
うざい機能だけ殺す辺りだけが説明してありますが、この辺りは特に詳しい文書が無いので良くわかりませんが、(あまり試していませんが) 実装されているもの全てが制御可能と思われます。
親コメント
REFERERもさあ (スコア:2)
プライバシーの侵害度ではクッキーに負けず大きい。
親コメント
新しい時代を迎えよう (スコア:1)
確かに現在は cookie に頼らざるを得ないが、ソレは Web上でのサービス開発者にとって、とてつもない苦痛でもある。
トランザクションとかも必要なこのご時世に、いまだ前時代の手法で、クライアント側の処理にブラウザのHTMLな機能のみを使ってる事が問題なのでは無いだろうか。
(今ちょっと無駄に思える)ギガヘルツプロセッサとかブローバンドとを活かして、クライアント側が平然とJavaアプリケーションを使うようになれば cookieに頼らなくてもいいし、開発側ももっと楽に(自由に?)なるはずだ。
(と思うのだが、私はアンマシ Javaの世界に詳しく無いのよ。どーなの?)
masashi
クッキー・ファイルを禁止 (スコア:1)
「セッションごとのCookie(保存なし)」
はいいんじゃないんですかねえ。
IE 6 ではそういう概念は消滅した模様ですが。
なにかあると禁止! (スコア:1, すばらしい洞察)
Re:なにかあると禁止! (スコア:2, すばらしい洞察)
現在以上に cookie という技術が普及するとなおのこと
禁止にしにくくなると思うのでこの動き自体は(私が思うに)望ましいことといえるなぁ…と。
Windows が普及しすぎたので、なにか問題があってもあまり知識の無い一般ユーザが乗り換える器が無いという現状
に重ねて考えてしまいます…。
結局 Cookie がアレゲだという事実は否めないですし。
親コメント
そんなことを (スコア:1)
それに、これって適用範囲は欧州内のみなのでは?
# それによって他にも広がりを見せるかどうかは見所かもしれないですが
ところでとは書かれてますが、個人もやっぱ対象になるんですかね。
Re:so long http (スコア:2)
トランザクションが必要だといっているのに、SOAPみたいな、どうするんだというような約束事をつくり出したりするし。
#もう、誰も読んでいないか。。。
親コメント