[新聞] 小心瀏覽器cookie所隱藏的安全問題

有位Web security的專家Mike在他最近撰寫的論文中提到，因為相同網域直接信任的問題，很多企業都忽略了在同一個網域中，若是子網域(subdomain)被惡意人士攻陷了，很可能會利用其所竊取到的cookie，進而獲得主網域(parent domains)的信任，讓更個網站淪陷。

在作者的論文中，以概念驗證方式(proof-of-concept)說明這種方式可能對一些特定網站造成影響，像是google和銀行網站等。若未受安全防護的cookie受到竊取竄改，最明顯的傷害就是讓惡意人士可以取得連線資訊如帳號、密碼等，也可以更改session甚至是購物車的內容，建議電子商務網站的管理人員務必要小心才行。

[新聞連結] Browser cookie handling could widen web attack space

[論文連結] Exploiting DNS­based Trust Relationships On The Web