ログイン機能のついたWEBサイトで、CookieにＥメールアドレスを記録させておくケースを時折見かけます。これは個人情報保護やセキュリティの観点からみてどうなのでしょうか？

例えば上記のような検索をすると、様々な例がヒットすると思います。

個人情報保護の観点からすると「自分がどの程度まで保護したいのか」によって大きくかわってくると思います。

個人的には、Eメールアドレスが漏れたところで大したことは無い、と考えています（とはいえ、自ら晒す事はしませんけど）

ですが、メールアドレスだって知られたくない、という人は使うべきでは無いでしょう。

また、セキュリティに関しても同様の事がいえると思います。

ですが、それはネットワークに接続する以上、ある程度は回避しがたいものですので、適度な妥協は必要かと思います。

要約してしまうと「自分が危ないと思ったら使うのをやめましょう」というのが正解かと思います。

参考になりませんでしたら、ポイントは結構です。

誰がログインしているのか、というセッション管理は、通常、ランダムな文字列をセッション

ID として利用し、セッションが他者から横取りされないようにする、というのが常識です。

Cookie にメールアドレスを記録させている、ということは、その人のメールアドレスさえ

分かれば、その Web にログインできることになるでしょう。

（注：もっとも、その Cookie をセッション ID として利用しているかどうか、という

のは、サーバ側のプログラムの作り手次第ですが）

パスワードは*****で表示されるから

他のＰＣで使われることないです。

「Cookieをどう管理すべきか？」のページです。たどって行きますと、

セッションハイジャックについて記載されています。

適宜スパイウェアで除去される事をお勧めします。

また、Cookie自体、ｗｅｂサーバ側からすれば個人を特定できる為（誰がと言う視点ではなく、初めての人か、そうでないか、どこを閲覧しているか、等々、会員サイトであれば個人をしっかり特定できます）

そういった観点から、プライパシーポリシでCookie自体を使用しない事を掲げていたり、逆に使用していますと明確にしているサイトなども多数存在します。

一例。

cookieを使用したページがある事を明記

cookieを使用ていない事を明記

逆にcookieを使用しないことの漏洩について記載されているページも有ります。

cookieの良い面、悪い面さまざまですが、

ひとまず、メールアドレスの明記などはそもそも論外だと思います。

メアドくらいなら、これは個人情報の中でも自主的に公開可能なものですし、

自主的に入力しない限りその情報がCookieに取り入れられることはありませんから

あまりたいした問題にはならないと思います。

むしろCookieの持つ大きな問題点は、その情報の送受の主導権を

ほとんど全てホスト側が握っているということ。

またCookieはjavascriptなどと組み合わせるとかなりのことができるようになる

というあたりにあるしょう。

たとえば匿名プロキシを経由しても

CookieでIP筒抜けなんていうことは多いですよね。

こういうのはアクセス者側の意志に関わらず勝手に情報が「抜かれる」わけですから、

個人情報の観点から言うと、こっちの方が問題です。

またCookieには、他人の偽装という問題点もあります。

Cookieに頼るログインは他人のなりすましを防げません。

Cookieを別PCで偽装されてしまうこともありますし、

自分のPCから他人が勝手にログインしてしまうなどということも有り得ます。

これもセキュリティ上恐いことだといえるでしょう。

普段使っているメールアドレスだと個人情報の漏洩にはなってしまいます。

おまけに会員制のサイトだとプロバイダのメールしか受け付けてもらえないという問題も発生していて困る問題もあります。

ただ、プロバイダメールでないと信頼できないというサイト側の事情もあるため、どうしてもそうなってしまう部分はあります。

ただ、インターネットを始めた人の場合は

「Cookieは便利だからそのままにしておいてかまわない」といった人が沢山あるからセキュリティに疎いのではないでしょうか？

少しだけネットをいじっていると「あー、Cookieも危ないんだ〜」って思うのですが・・

アドレスの方、ダミーかとは記述がなかったのですが、よろしかったでしょうか？

長文・乱文になり申し訳ありません。

それでは失礼します。

できるだけクッキーを削除するようにしています。このソフトで選択して削除できます。

URLはダミーです。

> 通常のアクセスログであれば、IPアドレスやユーザーエージェントなどの情報、

> またはCookieに記録されたランダムIDなどの取得のみなので、

や

> たしかに会員制サイトの場合、自主的にメアドを登録するので、それ自体は問題ないと思います。

> ただ、メアドがCookieに記録された場合、ログインしていなくても「誰々がアクセスした」ということをサイト運営者に知られてしまうのが問題になるかどうかです。

について。

手間はかかりますがCookieを受け入れないようにするか、削除すればすみます。

メールアドレスを含むCookieがないと、閲覧・利用できないサイトであれば、

仮にCookieにメールアドレスが含まれていなくても、

ランダムIDを取得する（ログイン）時点でメールアドレスが必要と思われ、

Cookieにメールアドレスが含まれようとそうでなかろうと、

「誰々がアクセスした」ことはサイト運営者に知られてしまいます。

mono-msさんの希望が、「自分がアクセスしたことを知られたくない」ということでしたら、

Cookieにメールアドレスが含まれていることが問題ではなく、

閲覧・利用にユーザーの特定が必要であることが問題となると思います。

また、ponta_3rdさんが回答されているように、

Cookieが漏洩すれば、メールアドレスが含まれていようがいまいが、

そのCookieによって管理されているウェブサイトに他人になりすましてログインできる可能性がありますので、

メールアドレス以上の情報が漏洩する可能性があります。

ただし、どこのサイトか分かりませんが、

Cookieに個人情報を記載する必要がある局面は殆ど考えられないので、

セキュリティ意識のないウェブサイトであることは確かかもしれません。

Cookieでログイン情報を管理しているサイトでCookieに生のメールアドレスが入っているということでしょうか?

それでしたら、単なるセキュリティホールです。(上記PDFの16ページ目)他人のメールアドレスを手でCookieにセットすることにより他人になりすましができるということです。

それともログアウトしてもcookieが残るのが嫌ということでしょうか?

ブラウザのアドレスバーに

javascript:exp=new%20Date(0).toGMTString();c=document.cookie.split(%22;%22);p=location.pathname.split(%22/%22);pl=p.length;d=document.domain.split(%22.%22);dl=d.length;dm=d[dl-1];for(di=1;di<dl;di++){dm=d[dl-1-di]+%22.%22+dm;pt=%22%22;for(pi=1;pi<pl;pi++){pt=pt+%22/%22;for(ci=0;ci<c.length;ci++){cn=c[ci].split(%22=%22)[0];document.cookie=cn+%22=;domain=%22+dm+%22;path=%22+pt+%22;expires=%22+exp;}pt+=p[pi];}}document.cookie;

をいれてリターンを押すか、上記をブックマークに入れておけば、そのサイトに対するCookieを削除できます。

javascript:document.cookie;

そのサイトに対して有効なcookieは上記で確認できます。

cookieにメールアドレスが入っているからアクセスをトラッキングされているとお考えですか?

メールアドレスを登録しておき、ログイン機能があるようなサイトでは、ログインIDに対応したセッションIDをCookieに入れておくことでCookieにメールアドレスが入っていなくともアクセス者をトラッキングすることは十分可能です。

あくまでたとえ話ですが、はてなでログアウトしてもCookieが消されなければはてな側はどのIDがアクセスしているかは十分トラッキング可能です。