digital 千里眼 @abp_jp

アナログな日常とデジタルの接点

ログイン情報を盗まれないための工夫

ブラウザのセキュリティを NoScriptRequestPolicy で強化するのは常識...なので、別の視点から考える

前提知識
  • 「ログインしたまま」にできるのは、ログイン情報をブラウザ内の Cookie に保持しているから

⇒ 「ログイン情報を保持しているクッキー」を守る必要がある

「ログインしたまま」専用ブラウザを別に用意

  • ログインしたまま悪意のある Web ページに行く、または見えない iframe が仕掛けられたページに行くからログイン情報(Cookie)を盗まれる

⇒ 「ログインしたまま」専用の別ブラウザ(Opera とか?)を用意する(別ブラウザなら Cookie はシェアされない)
⇒ ログイン情報(Cookie)が必要なとき以外は「ログインしたまま」ブラウザを使わない

通常ブラウザにログイン情報(Cookie)を残さない

  • 通常ブラウザに保持するログイン情報(Cookie)は、盗まれて問題ないものだけに限定

⇒ 通常ブラウザでは基本的にセッション Cookie しか保持しない(ブラウザ終了時に消える)
⇒ 通常ブラウザは常にプライベート(シークレット)モードを使う


何も対策しないよりマシなことは確か