このセキュリティ問題について: http://techcrunch.com/2010/10/24/firesheep-in-wolves-clothing-app-lets-you-hack-into-twitter-facebook-accounts-easily/
「ユーザーがサイトにログインし、SSL/TLS/HTTPS 接続にリダイレクトされないときはいつでも、セッション Cookie は脆弱である」というのは本当ですか?
Facebook の資格情報を保護するための最適なソリューションは何ですか?また、その仕組みは?
SSL/TLSを使用せずに安全なセッションを行う方法はありますか? つまり、あるマシンの Cookie を別のマシンで再生できないようにする方法はありますか?
最後の質問が重要な理由は、Google AdSense が SSL/TLS をサポートしていないため、デザイナーはすべての Cookie を公開する必要があるためです。これは、AdSense に依存するすべてのサイトに影響します。
SSL/TLS を使用していない場合、問題は Cookie であり、ネットワーク上でクリアに送信されます。
TCP/IP トラフィックを聞いている人は誰でも、暗号化されていないデータを読み取ることができ、Cookie を読み取ることができます。
それらがあれば、それを自分のコンピューターにコピーすると機能します...
SSL/TLS が必要です。
公開 (暗号化されていない) でデータを送信する場合、情報を保護する方法はありません。特に、機密性の低いユーザー情報を保存するために広く使用されているプロトコルである Cookie を使用しないと、情報を保護することはできません。トリックやハックを試みて、Cookie が発行された人だけがそれを使用できると主張することもできますが、それは Cookie が設計された目的ではありません。クッキーはセキュリティ機能ではありません!
プライバシーが必要な場合は、暗号化を使用してください。それはそれと同じくらい簡単です。SSL証明書は安価です(年間10ドル程度)。セキュリティとプライバシーが必要な場合、SSL を使用しない理由はありません。
独自のサイトでは、Cookie をより安全に設計できます: http://jaspan.com/improved_persistent_login_cookie_best_practice
ただし、Facebook はこれを行っていないため、SSL を使用する場合の唯一のオプションです。