人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

ログイン機能のついたWEBサイトで、CookieにEメールアドレスを記録させておくケースを時折見かけます。これは個人情報保護やセキュリティの観点からみてどうなのでしょうか?

●質問者: mono-ms
●カテゴリ:ビジネス・経営 コンピュータ
✍キーワード:cookie webサイト セキュリティ メールアドレス ログイン
○ 状態 :終了
└ 回答数 : 9/9件

▽最新の回答へ

1 ● nikuzure
●0ポイント

http://www.google.com/search?num=50&hl=ja&lr=lang_ja&inlang=ja&i...

例えば上記のような検索をすると、様々な例がヒットすると思います。

個人情報保護の観点からすると「自分がどの程度まで保護したいのか」によって大きくかわってくると思います。

個人的には、Eメールアドレスが漏れたところで大したことは無い、と考えています(とはいえ、自ら晒す事はしませんけど)

ですが、メールアドレスだって知られたくない、という人は使うべきでは無いでしょう。

また、セキュリティに関しても同様の事がいえると思います。

ですが、それはネットワークに接続する以上、ある程度は回避しがたいものですので、適度な妥協は必要かと思います。

要約してしまうと「自分が危ないと思ったら使うのをやめましょう」というのが正解かと思います。

参考になりませんでしたら、ポイントは結構です。


2 ● JULY
●20ポイント

http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole01.h...

@IT:Webアプリケーションに潜むセキュリティホール(3)

誰がログインしているのか、というセッション管理は、通常、ランダムな文字列をセッション

ID として利用し、セッションが他者から横取りされないようにする、というのが常識です。

Cookie にメールアドレスを記録させている、ということは、その人のメールアドレスさえ

分かれば、その Web にログインできることになるでしょう。

(注:もっとも、その Cookie をセッション ID として利用しているかどうか、という

のは、サーバ側のプログラムの作り手次第ですが)

◎質問者からの返答

たしかにセッションIDとしてメールアドレスを使用している場合、高い確率でセキュリティホールがあるでしょうね。。


3 ● mai-1997
●0ポイント

http://www.hatena.ne.jp/1088147182##

ログイン機能のついたWEBサイトで、CookieにEメールアドレスを記録させておくケースを時折見かけます。これは個人情報保護やセキュリティの観点からみてどうなのでしょう.. - 人力検索はてな

パスワードは*****で表示されるから

他のPCで使われることないです。

◎質問者からの返答

???

本質問の意図についてご説明が不足したようです。

Cookieにメールアドレスを記録されるということは、ユーザーの意思に関わらず、

サイト運営側が「誰が」アクセスしたかということを特定できるということです。

通常のアクセスログであれば、IPアドレスやユーザーエージェントなどの情報、

またはCookieに記録されたランダムIDなどの取得のみなので、

個人を特定することは難しいですが、メールアドレス記録の場合、完全に特定されてしまいます。

このことが個人情報保護の観点から、アウトかセーフか不明だったのでご質問した次第です。


4 ● ponta3rd
●40ポイント

http://allabout.co.jp/computer/netsecurity/closeup/CU20031019A/

お答えをひっぱってきます 3 Cookieをどう管理すべきか? - [インターネットセキュリティ]All About

「Cookieをどう管理すべきか?」のページです。たどって行きますと、

http://allabout.co.jp/computer/netsecurity/closeup/CU20031019A/i...

お答えをひっぱってきます 3 Cookieをどう管理すべきか? - [インターネットセキュリティ]All About

セッションハイジャックについて記載されています。

適宜スパイウェアで除去される事をお勧めします。

また、Cookie自体、webサーバ側からすれば個人を特定できる為(誰がと言う視点ではなく、初めての人か、そうでないか、どこを閲覧しているか、等々、会員サイトであれば個人をしっかり特定できます)

そういった観点から、プライパシーポリシでCookie自体を使用しない事を掲げていたり、逆に使用していますと明確にしているサイトなども多数存在します。

http://www.justsystem.co.jp/msg/privacy.html#cookie

個人情報保護方針

一例。

cookieを使用したページがある事を明記

http://www.sunny-vale.com/privacy.html

cookieを使用ていない事を明記

http://securit.gtrc.aist.go.jp/SecurIT/advisory/webmail-1/

SecurIT-Advisory 2000-001: Cookieを使用せずURLに埋め込むIDに頼ったセッション管理方式の脆弱性(1)

逆にcookieを使用しないことの漏洩について記載されているページも有ります。

cookieの良い面、悪い面さまざまですが、

ひとまず、メールアドレスの明記などはそもそも論外だと思います。

◎質問者からの返答

産業技術総合研究所のレビューは大変参考になりました。

>cookieの良い面、悪い面さまざまですが、

ひとまず、メールアドレスの明記などはそもそも論外だと思います

私も同感ではありますが、なかなかうまく説明できずに困っています。


5 ● TrueLove
●20ポイント

http://akademeia.info/main/lecture2/kiso_cookie.htm

メアドくらいなら、これは個人情報の中でも自主的に公開可能なものですし、

自主的に入力しない限りその情報がCookieに取り入れられることはありませんから

あまりたいした問題にはならないと思います。

むしろCookieの持つ大きな問題点は、その情報の送受の主導権を

ほとんど全てホスト側が握っているということ。

またCookieはjavascriptなどと組み合わせるとかなりのことができるようになる

というあたりにあるしょう。

たとえば匿名プロキシを経由しても

CookieでIP筒抜けなんていうことは多いですよね。

こういうのはアクセス者側の意志に関わらず勝手に情報が「抜かれる」わけですから、

個人情報の観点から言うと、こっちの方が問題です。

またCookieには、他人の偽装という問題点もあります。

Cookieに頼るログインは他人のなりすましを防げません。

Cookieを別PCで偽装されてしまうこともありますし、

自分のPCから他人が勝手にログインしてしまうなどということも有り得ます。

これもセキュリティ上恐いことだといえるでしょう。

◎質問者からの返答

たしかに会員制サイトの場合、自主的にメアドを登録するので、それ自体は問題ないと思います。

ただ、メアドがCookieに記録された場合、ログインしていなくても「誰々がアクセスした」ということをサイト運営者に知られてしまうのが問題になるかどうかです。


1-5件表示/9件
4.前の5件|次5件6.
関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ