京ポンのCookieについて試す
JavaScript & Cookie対応携帯電話はXSSからおさらばできるか(高木浩光@茨城県つくば市 の日記)
携帯電話のcookie対応はEZweb陣営で既に達成されているが、JavaScript対応は初であろう。気になるのは、JavaScript対応がどこまでの範囲で行われているかだ。
(中略)
問題は、JavaScriptからcookieにアクセスする機能、つまり「document.cookie」というプロパティの機能が搭載されているかどうかだ。
もしこの機能が削られているならば、たとえWebサイト側にXSS(クロスサイトスクリプティング)脆弱性があったとしても、それによってcookieを盗まれることはない。
(中略)
携帯電話のブラウザでは、どのみち完全なPC向けWebサイト対応は期待されていないのだから、この際思い切って、document.cookie機能を搭載しないでおいたらどうか。「セキュリティを重視して危ない機能は排除した」と主張すればよい。
一部の掲示板等でdocument.cookieが使われている(cookieで覚えさせたハンドルやメールアドレスを名前欄、E-mail欄に表示するため)が、JavaScriptを使わなくともCGI側で同じことを実現できるのだから、こんな機能はなくなってもかまわないはずだ。
ちょっと古い話だが高木氏がAH-K3001Vについてdocument.cookeメソッドについて書かれていたので試してみた。
を作成してAH-J3001VのOperaでアクセスしてみたのが上記の画像である。(V401SHで撮影)
snitch=
と表示されている。
やはりdocument.cookieメソッドは存在するようだ。