昨日の記事の元ネタの元ネタになったスラッシュドット・ジャパンの記事（GmailのセッションIDを自動的に盗むツールが登場 | スラド セキュリティ）ですが、日本語版の記事は間違っているような気がする。

悪意ある者がhttp://mail.google.comの画像をメールやウェブページに紛れ込ませることでセッションIDを得ることが可能である。

というのが間違い。

確かにブラウザはその接続でGoogleのcookieを送信する。google.comへ（笑）。それには攻撃として何の意味もない。

もしそんなことでcookieが盗めるのなら、誰もXSS脆弱性を利用してjavascriptを送り込んだりしません（笑）

英語版の記事にはそんなことは一切書かれていないので、日本語版に投稿した誰かが間違った内容を付け加えたのでしょう。

公開されるというツールは、おそらくブラウザを攻撃するマルウェアとかではないでしょうか。あるいは、Gmailの脆弱性をつくXSS攻撃とか。（メールに埋め込めれば･･･）