Secure属性のCookieを盗むには。。
経路のセキュリティと同時にセキュアなセッション管理を - SSL/TLS でクッキーを使うときは secure 属性を付けるのを基本とする -
http://www.example.com:443/
というURLにアクセスさせる罠を用意すれば、暗号化されずにCookieが送出される。。とか。
でもこれ、Secure属性が付いていれば送出されないのでは??とも思う。
うーーん。
https://www.example.com:80/
の場合はどうなるんだろう? 不正なリクエスト扱いで接続できない気もするが。。
ここらへん勉強不足だな。明日調べてみよう。
javascriptでならSecure属性付いてても付いてなくても問題なくCookieにアクセスできる。
かなり久々の技術ネタ(苦笑