他の国からの私のウェブサイトへの訪問をシミュレートするためにプロキシを使用する必要があります。プロキシを使用することは、ブラウザ内のCookieが安全でないことを意味します。私が理解しているように、プロキシが設定されている特定のブラウザのみに関するものですか?私が理解しているように、他のブラウザからのクッキーはまだ安全なはずですか?
編集:たとえば、Chromeに銀行の資格情報を持つCookieがあり、Mozillaでのみプロキシを使用する場合、ChromeのCookieは安全ですか?
他の国からの私のウェブサイトへの訪問をシミュレートするためにプロキシを使用する必要があります。プロキシを使用することは、ブラウザ内のCookieが安全でないことを意味します。私が理解しているように、プロキシが設定されている特定のブラウザのみに関するものですか?私が理解しているように、他のブラウザからのクッキーはまだ安全なはずですか?
編集:たとえば、Chromeに銀行の資格情報を持つCookieがあり、Mozillaでのみプロキシを使用する場合、ChromeのCookieは安全ですか?
回答:
プロキシを介して渡されるすべてのCookieは、公開されていると見なすことができます。これは基本的に、ブラウザが処理するリクエスト(ページ、画像など)または送信(フォームなど)に関連付けられたCookieです。
ブラウザーに無関係なCookieを渡すようにするためのいくつかのトリックがあります。HTTP Cookiesに関するMDNのページは、元々ウィキペディアの例を示しています。
クロスサイトリクエストフォージェリ(CSRF)
ウィキペディアはCSRFの良い例を挙げています。この状況では、誰かが実際には画像ではない画像(たとえば、フィルター処理されていないチャットやフォーラム)を含めますが、実際には銀行のサーバーにお金を引き出す要求です:
<img src="http://bank.example.com/withdraw?account=bob&amount=1000000&for=mallory">現在、銀行口座にログインしていて、Cookieがまだ有効である(そして他の検証がない)場合、この画像を含むHTMLをロードするとすぐに送金します。
一般的なサイトを推測することで、ページがこの手法を使用して、リクエストされたコンテンツが無効な場合でも、アクティブなセッションキーを含むCookieをリクエストとともにブラウザに送信させることができます。その後、プロキシはCookieを取得して使用できます。
HTTPSはこのすべてを緩和するのに役立ちますが、特定のプロキシがどのように機能するかに依存します。プロキシは、SSL証明書を別の信頼できる証明書に置き換えることにより、接続に対してMITM攻撃を実行できます。
最新のブラウザは、「プライバシー」ウィンドウまたはタブを開く機能を提供します。これは、(特に)存在する以前のCookieが存在しないかのように動作します。既存のCookieはプライベートウィンドウと共有されません。