GmailのセッションID
昨日の記事の元ネタの元ネタになったスラッシュドット・ジャパンの記事(GmailのセッションIDを自動的に盗むツールが登場 | スラド セキュリティ)ですが、日本語版の記事は間違っているような気がする。
悪意ある者がhttp://mail.google.comの画像をメールやウェブページに紛れ込ませることでセッションIDを得ることが可能である。
というのが間違い。
確かにブラウザはその接続でGoogleのcookieを送信する。google.comへ(笑)。それには攻撃として何の意味もない。
もしそんなことでcookieが盗めるのなら、誰もXSS脆弱性を利用してjavascriptを送り込んだりしません(笑)
英語版の記事にはそんなことは一切書かれていないので、日本語版に投稿した誰かが間違った内容を付け加えたのでしょう。
公開されるというツールは、おそらくブラウザを攻撃するマルウェアとかではないでしょうか。あるいは、Gmailの脆弱性をつくXSS攻撃とか。(メールに埋め込めれば・・・)