出典 しゅってん : フリー百科 ひゃっか 事典 じてん 『ウィキペディア(Wikipedia)』
クロスサイト・クッキングでは攻撃 こうげき 者 しゃ はブラウザのバグを悪用 あくよう し、不正 ふせい なクッキーをサーバに送 おく る
クロスサイト・クッキング (Cross-site cooking )はサイトを攻撃 こうげき する者 もの にブラウザ用 よう のクッキーを別 べつ のサイト・サーバのクッキー・ドメインにセットすることを許 ゆる すブラウザクラッシャー の一 ひと つである。
クロスサイト・クッキングは悪意 あくい のあるサイトが別 べつ のサイトのセッション識別子 しきべつし cookie を定着 ていちゃく しうるようなSession fixation 攻撃 こうげき を実行 じっこう する為 ため に利用 りよう される。
他 た の攻撃 こうげき シナリオの可能 かのう 性 せい は、例 たと えば攻撃 こうげき 者 しゃ がサーバのセキュリティ脆弱 ぜいじゃく 性 せい を知 し る場合 ばあい であり、それはクッキーを利用 りよう した攻撃 こうげき が可能 かのう である。しかし、このセキュリティ脆弱 ぜいじゃく 性 せい が例 たと えば攻撃 こうげき 者 しゃ の知 し らない管理 かんり 者 しゃ のパスワードを必要 ひつよう とする場合 ばあい はクロスサイト・クッキングは通常 つうじょう の利用 りよう 者 しゃ をだましてその者 もの が意図 いと しないまま攻撃 こうげき を実行 じっこう させるように利用 りよう できる。
クロスサイト・クッキングはデータかコードを異 こと なるウェブ・サイト間 あいだ (もしくは場合 ばあい によっては電子 でんし メール/インスタント・メッセージとサイトの間 あいだ )で移動 いどう させる能力 のうりょく をもったクロスサイトスクリプティング 、クロスサイトリクエストフォージェリ 、Cross-site tracing 、Cross-zone scripting などと概念 がいねん で類似 るいじ している。
これらの問題 もんだい は、ウェブブラウザ が異 こと なる情報 じょうほう /アプリケーション/サイトのための共通 きょうつう プラットホームであるということと関係 かんけい している。ブラウザによって維持 いじ される論理 ろんり 的 てき セキュリティの境界 きょうかい だけがあるサイトが別 べつ のサイトを破壊 はかい したり、そこからデータを盗 ぬす むことができないことを保証 ほしょう する。
しかし、クロスサイト・クッキングのようなブラウザクラッシャー は論理 ろんり 的 てき セキュリティの境界 きょうかい をまたいでものを移動 いどう させることができる。
クロスサイト・クッキングの名称 めいしょう とその概念 がいねん は2006年 ねん マイケル・ザレウスキーによってもたらされた[1] 。 名前 なまえ はクッキー とクロスサイトを合 あ わせたものでサイト間 あいだ でクッキーが設定 せってい される性質 せいしつ を表現 ひょうげん しようとした。2006年 ねん のマイケル・ザレウスキーの記事 きじ では、1998年 ねん 5月 がつ にクッキー・ドメインが関係 かんけい した脆弱 ぜいじゃく 性 せい をベンダーに報告 ほうこく したベンジャミン・フランツはかれの発見 はっけん について信用 しんよう されることになった。ベンジャミン・フランツはその脆弱 ぜいじゃく 性 せい を発表 はっぴょう し、主 おも に人気 にんき のあるブラウザで「プライバシー保護 ほご 」のメカニズムを回避 かいひ するための方法 ほうほう として議論 ぎろん した。
マイケル・ザレウスキーは8年 ねん 後 ご 、そのバグがいくつかのブラウザに未 み 解決 かいけつ のまま存在 そんざい し、クロスサイト・クッキングに悪用 あくよう されることが可能 かのう であるとの結論 けつろん を出 だ した。
「ベンダーはこれを修正 しゅうせい しようと急 いそ いではいない」など、いろいろな発言 はつげん がザレウスキーや他 た からもなされた。
Cross-Site Cooking article by Michal Zalewski. Details concept, 3 bugs which enables Cross Site Cooking. One of these bugs is the age old bug originally found by Benjamin Franz.