ログイン機能のついたWEBサイトで、CookieにEメールアドレスを記録させておくケースを時折見かけます。これは個人情報保護やセキュリティの観点からみてどうなのでしょうか?

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2004/06/25 16:06:22
  • 終了:--

回答(9件)

id:nikuzure No.1

nikuzure回答回数89ベストアンサー獲得回数02004/06/25 16:37:32

例えば上記のような検索をすると、様々な例がヒットすると思います。

個人情報保護の観点からすると「自分がどの程度まで保護したいのか」によって大きくかわってくると思います。

個人的には、Eメールアドレスが漏れたところで大したことは無い、と考えています(とはいえ、自ら晒す事はしませんけど)

ですが、メールアドレスだって知られたくない、という人は使うべきでは無いでしょう。

また、セキュリティに関しても同様の事がいえると思います。

ですが、それはネットワークに接続する以上、ある程度は回避しがたいものですので、適度な妥協は必要かと思います。

要約してしまうと「自分が危ないと思ったら使うのをやめましょう」というのが正解かと思います。

参考になりませんでしたら、ポイントは結構です。

id:JULY No.2

JULY回答回数966ベストアンサー獲得回数2472004/06/25 16:37:58

ポイント20pt

http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole01.h...

@IT:Webアプリケーションに潜むセキュリティホール(3)

誰がログインしているのか、というセッション管理は、通常、ランダムな文字列をセッション

ID として利用し、セッションが他者から横取りされないようにする、というのが常識です。

Cookie にメールアドレスを記録させている、ということは、その人のメールアドレスさえ

分かれば、その Web にログインできることになるでしょう。

(注:もっとも、その Cookie をセッション ID として利用しているかどうか、という

のは、サーバ側のプログラムの作り手次第ですが)

id:mono-ms

たしかにセッションIDとしてメールアドレスを使用している場合、高い確率でセキュリティホールがあるでしょうね。。

2004/06/25 17:37:05
id:mai-1997 No.3

mai-1997回答回数790ベストアンサー獲得回数12004/06/25 16:44:26

http://www.hatena.ne.jp/1088147182##

ログイン機能のついたWEBサイトで、CookieにEメールアドレスを記録させておくケースを時折見かけます。これは個人情報保護やセキュリティの観点からみてどうなのでしょう.. - 人力検索はてな

パスワードは*****で表示されるから

他のPCで使われることないです。

id:mono-ms

???

本質問の意図についてご説明が不足したようです。

Cookieにメールアドレスを記録されるということは、ユーザーの意思に関わらず、

サイト運営側が「誰が」アクセスしたかということを特定できるということです。

通常のアクセスログであれば、IPアドレスやユーザーエージェントなどの情報、

またはCookieに記録されたランダムIDなどの取得のみなので、

個人を特定することは難しいですが、メールアドレス記録の場合、完全に特定されてしまいます。

このことが個人情報保護の観点から、アウトかセーフか不明だったのでご質問した次第です。

2004/06/25 17:47:46
id:ponta_3rd No.4

ponta3rd回答回数196ベストアンサー獲得回数02004/06/25 16:50:33

ポイント40pt

http://allabout.co.jp/computer/netsecurity/closeup/CU20031019A/

お答えをひっぱってきます 3 Cookieをどう管理すべきか? - [インターネットセキュリティ]All About

「Cookieをどう管理すべきか?」のページです。たどって行きますと、

http://allabout.co.jp/computer/netsecurity/closeup/CU20031019A/i...

お答えをひっぱってきます 3 Cookieをどう管理すべきか? - [インターネットセキュリティ]All About

セッションハイジャックについて記載されています。

適宜スパイウェアで除去される事をお勧めします。

また、Cookie自体、webサーバ側からすれば個人を特定できる為(誰がと言う視点ではなく、初めての人か、そうでないか、どこを閲覧しているか、等々、会員サイトであれば個人をしっかり特定できます)

そういった観点から、プライパシーポリシでCookie自体を使用しない事を掲げていたり、逆に使用していますと明確にしているサイトなども多数存在します。

一例。

cookieを使用したページがある事を明記

cookieを使用ていない事を明記

http://securit.gtrc.aist.go.jp/SecurIT/advisory/webmail-1/

SecurIT-Advisory 2000-001: Cookieを使用せずURLに埋め込むIDに頼ったセッション管理方式の脆弱性(1)

逆にcookieを使用しないことの漏洩について記載されているページも有ります。

cookieの良い面、悪い面さまざまですが、

ひとまず、メールアドレスの明記などはそもそも論外だと思います。

id:mono-ms

産業技術総合研究所のレビューは大変参考になりました。

>cookieの良い面、悪い面さまざまですが、

ひとまず、メールアドレスの明記などはそもそも論外だと思います

私も同感ではありますが、なかなかうまく説明できずに困っています。

2004/06/25 17:56:39
id:TrueLove No.5

TrueLove回答回数85ベストアンサー獲得回数02004/06/25 16:56:28

ポイント20pt

メアドくらいなら、これは個人情報の中でも自主的に公開可能なものですし、

自主的に入力しない限りその情報がCookieに取り入れられることはありませんから

あまりたいした問題にはならないと思います。

むしろCookieの持つ大きな問題点は、その情報の送受の主導権を

ほとんど全てホスト側が握っているということ。

またCookieはjavascriptなどと組み合わせるとかなりのことができるようになる

というあたりにあるしょう。

たとえば匿名プロキシを経由しても

CookieでIP筒抜けなんていうことは多いですよね。

こういうのはアクセス者側の意志に関わらず勝手に情報が「抜かれる」わけですから、

個人情報の観点から言うと、こっちの方が問題です。

またCookieには、他人の偽装という問題点もあります。

Cookieに頼るログインは他人のなりすましを防げません。

Cookieを別PCで偽装されてしまうこともありますし、

自分のPCから他人が勝手にログインしてしまうなどということも有り得ます。

これもセキュリティ上恐いことだといえるでしょう。

id:mono-ms

たしかに会員制サイトの場合、自主的にメアドを登録するので、それ自体は問題ないと思います。

ただ、メアドがCookieに記録された場合、ログインしていなくても「誰々がアクセスした」ということをサイト運営者に知られてしまうのが問題になるかどうかです。

2004/06/25 18:06:05
id:alshine5 No.6

たかな回答回数15ベストアンサー獲得回数02004/06/25 17:18:39

http://fm-kyoto.jp/

α-STATION エフエム京都

普段使っているメールアドレスだと個人情報の漏洩にはなってしまいます。

おまけに会員制のサイトだとプロバイダのメールしか受け付けてもらえないという問題も発生していて困る問題もあります。

ただ、プロバイダメールでないと信頼できないというサイト側の事情もあるため、どうしてもそうなってしまう部分はあります。

ただ、インターネットを始めた人の場合は

「Cookieは便利だからそのままにしておいてかまわない」といった人が沢山あるからセキュリティに疎いのではないでしょうか?

少しだけネットをいじっていると「あー、Cookieも危ないんだ〜」って思うのですが・・

アドレスの方、ダミーかとは記述がなかったのですが、よろしかったでしょうか?

長文・乱文になり申し訳ありません。

それでは失礼します。

id:k318 No.7

k318回答回数2622ベストアンサー獲得回数22004/06/25 19:44:09

http://www.vector.co.jp/soft/win95/net/se227021.html

くっきーりすと(Windows95/98/Me / インターネット&通信)

できるだけクッキーを削除するようにしています。このソフトで選択して削除できます。

id:sakyo No.8

sakyo回答回数46ベストアンサー獲得回数02004/06/25 20:36:07

ポイント20pt

URLはダミーです。

> 通常のアクセスログであれば、IPアドレスやユーザーエージェントなどの情報、

> またはCookieに記録されたランダムIDなどの取得のみなので、

> たしかに会員制サイトの場合、自主的にメアドを登録するので、それ自体は問題ないと思います。

> ただ、メアドがCookieに記録された場合、ログインしていなくても「誰々がアクセスした」ということをサイト運営者に知られてしまうのが問題になるかどうかです。

について。

手間はかかりますがCookieを受け入れないようにするか、削除すればすみます。

メールアドレスを含むCookieがないと、閲覧・利用できないサイトであれば、

仮にCookieにメールアドレスが含まれていなくても、

ランダムIDを取得する(ログイン)時点でメールアドレスが必要と思われ、

Cookieにメールアドレスが含まれようとそうでなかろうと、

「誰々がアクセスした」ことはサイト運営者に知られてしまいます。

mono-msさんの希望が、「自分がアクセスしたことを知られたくない」ということでしたら、

Cookieにメールアドレスが含まれていることが問題ではなく、

閲覧・利用にユーザーの特定が必要であることが問題となると思います。

また、ponta_3rdさんが回答されているように、

Cookieが漏洩すれば、メールアドレスが含まれていようがいまいが、

そのCookieによって管理されているウェブサイトに他人になりすましてログインできる可能性がありますので、

メールアドレス以上の情報が漏洩する可能性があります。

ただし、どこのサイトか分かりませんが、

Cookieに個人情報を記載する必要がある局面は殆ど考えられないので、

セキュリティ意識のないウェブサイトであることは確かかもしれません。

id:mono-ms

丁寧なご回答有難うございます。

>mono-msさんの希望が、「自分がアクセスしたことを知られたくない」

実は私はWEBサイトを運営アドバイスをする立場にあり、このような仕組みに対して改善をアドバイスしようかと考えているのですが、論理的に説明できず困っています。

確かにランダムIDとメールアドレスをサイト運営側で紐付けしていれば、同じことかもしれませんが、感覚的にCookieにメールアドレスを残すことが気持ち悪くて。。。

2004/06/26 06:58:40
id:snitch No.9

snitch回答回数516ベストアンサー獲得回数92004/06/25 21:47:45

ポイント20pt

Cookieでログイン情報を管理しているサイトでCookieに生のメールアドレスが入っているということでしょうか?

それでしたら、単なるセキュリティホールです。(上記PDFの16ページ目)他人のメールアドレスを手でCookieにセットすることにより他人になりすましができるということです。

それともログアウトしてもcookieが残るのが嫌ということでしょうか?

ブラウザのアドレスバーに

javascript:exp=new%20Date(0).toGMTString();c=document.cookie.split(%22;%22);p=location.pathname.split(%22/%22);pl=p.length;d=document.domain.split(%22.%22);dl=d.length;dm=d[dl-1];for(di=1;di<dl;di++){dm=d[dl-1-di]+%22.%22+dm;pt=%22%22;for(pi=1;pi<pl;pi++){pt=pt+%22/%22;for(ci=0;ci<c.length;ci++){cn=c[ci].split(%22=%22)[0];document.cookie=cn+%22=;domain=%22+dm+%22;path=%22+pt+%22;expires=%22+exp;}pt+=p[pi];}}document.cookie;

をいれてリターンを押すか、上記をブックマークに入れておけば、そのサイトに対するCookieを削除できます。

javascript:document.cookie;

そのサイトに対して有効なcookieは上記で確認できます。

cookieにメールアドレスが入っているからアクセスをトラッキングされているとお考えですか?

メールアドレスを登録しておき、ログイン機能があるようなサイトでは、ログインIDに対応したセッションIDをCookieに入れておくことでCookieにメールアドレスが入っていなくともアクセス者をトラッキングすることは十分可能です。

あくまでたとえ話ですが、はてなでログアウトしてもCookieが消されなければはてな側はどのIDがアクセスしているかは十分トラッキング可能です。

id:mono-ms

有難うございました。参考になりました。

2004/06/28 11:45:31

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません