楽天がクッキー盗聴によって、セッションハイジャックできるかどうかを実験しましたが、その時に、楽天のクッキーの中に、ユーザーのIPアドレスのようなデータが含まれていることを発見しました。
Apache=122.24.129.222.95275512447477966;
このような「122.24.129.222」
このIPアドレスらしきを、逆引きして調べてみると
C:\>nslookup 122.24.129.222
Server:
Address: 192.168.1.1
Name: p2222-ipbf1106hodogaya.kanagawa.ocn.ne.jp
Address: 122.24.129.222
これは、管理人がインターネット接続しているIPアドレスです。
ユーザーセキュリティの視点で、これがセッションハイジャック対策の為だとすると、とても興味深いです。
クッキーを盗聴されて、それを使ったセッションハイジャックが行われたとしても、
"同じIPアドレスでないとハイジャックできない仕組み"
かもしれません。
このことを確認する為に、WebTasterを使って簡単な実験を行ってみます。
<実験>
1.WebTasterを使って、楽天にアクセスし、ログインします。
2.WebTasterのクッキー書換機能で、クッキーの中のIPアドレスらしきデータを別のデータに書き換えます。
このようにIPアドレスが実際にIPアドレスと違う状態で、楽天のセッションが維持できるのか?
<結果>
クッキーの中のIPアドレスは新しいものに書き換えられ、特に支障なくセッションは維持されました。
実験が終わってから良く考えてみれば、あたり前のことでした;;
家庭のIPアドレスにしてもWiFiアクセスポイントのIPアドレスにしても、アクセスする場所や時間によって、当然ながら変わっていきます。
その都度々々に、ログインを求められることはないですからね。
それにしても、WebTasterは、ブラウザのアクセスをそのままに、セッション限りのクッキーまで簡単に、自在に改竄できて、セキュリティ研究家には堪らない便利ソフトです。
