大垣です。 Yasuo Ohgaki wrote: > 既に多くの皆さんは、ご存知とは思いますが、userDataを使うと、クッキー > が無効であろうとなかろうとクッキー以上のトラッキング性を確保できる > ようです。 >> # userDataでいろいろできる、とは聞いていましたが、ここまでとは > # 知りませんでした。これは仕様? > # Microsoft社のWebサイトでは"クッキーより強力"と解説している > # そうです。 >> サンプル > http://www.xs4all.nl/~jkuperus/cookies.htm 以前どんな形で議論されたかURLをポストされた方いたので 張り付けておきます。 http://online.securityfocus.com/archive/1/81340 http://online.securityfocus.com/archive/1/81337 http://slashdot.org/article.pl?sid=00/09/11/2243224 http://news.com.com/2100-1023-245556.html?legacy=cnet&tag=st.ne.1002.tgif.ni slashdot.orgのポストは案外、どうでも良いのでは?という意見が おおかったようですね。 任意のクッキー取得できる不具合と比べれば、userDataで他のドメイン の永続的なデータが読めることはまだましですが、問題ありです。 > この他にも、passport/hotmailのアカウント名取得、任意のクッキーの > 取得、SSLの盗聴を可能にする問題などがIEには残っています。 SSLの盗聴は2000年にレポートされた問題ですが、たまたま今日、同じ 報告がでてました。 MSはこの不具合を一旦修正して、その後また不具合が復活したという経緯 があります。最新版ではどうかな?と思っていたのですが、やはり盗聴で きるようです。 安全なWebサービスの提供というくらいしかPHPに関わりがなく、オフト ピックなのでこれくらいしておきます。 -- Yasuo Ohgaki