Opera 12.15 の不具合で明らかになった楽天の問題(?)

Cookie regression in 12.15 - Opera browser - Opera Community

Operaが、いくつかのWebサイトでログインできなくなるという奇妙な現象に出くわしたので少し掘り下げてみた。
恐らく、それはアドバイザリー1047に記載されているかなり重要なバグ修正が直接の原因で、ドメインパラメータを含むクッキーが確認なしに破棄されるためと思われます。

サーバの応答は、以下のHTTPヘッダが以下の時、クッキーは保存されます

Set-Cookie: PHPSESSID=xxxxxx; expires=Tue, 30-Apr-2013 01:37:45 GMT; path=/

しかし、以下のようにするとクッキーは現在のドメインがcookieパラメータで指定されているものと一致した場合でも、保存されません。

Set-Cookie: PHPSESSID=xxxxxx; expires=Tue, 30-Apr-2013 01:37:45 GMT; path=/; domain=.some.sub.example.com

おそらく関連するいくつかのスレッド:

助けて!うっかりオペラ12.15にアップグレードしたら、インターネットバンキングにアクセスできないよ!
インターネットバンキングのウェブサイト上のOperaのクッキーの問題

追記事項
"すべてのCookieを受け入れる"と "自分だけが訪れるサイトからのクッキーを受け入れる"の設定は結果に影響を及ぼさなかった。
そのサイト上のセッションハンドリングはFirefoxとIE9の現在のリリースでは正常に動作します。

Cant logon to netbank with Opera - On the internet
commbank.com.au にアクセスできなくなった人が多数。

Opera 12.15にアップグレードすると楽天等の一部サイトにログオンできない。 - みゃうのリカバリーをする前に - Yahoo!ブログ
Opera 12.15 で楽天にログインできない不具合が(汗) - Coconut's Sky

楽天のRMSが10年以上前のものでつぎはぎだらけなので、セキュリティ的に問題があるからのような気がするんだ・ω・

ちょっと深く掘り下げて検証できなかったので、追試するかも・ω・;

HTTP/1.1 200 OK
Accept-Ranges: bytes
Content-Encoding: gzip
Content-Length: 57
Content-Type: image/gif
Date: Fri, 07 Jun 2013 08:56:21 GMT
Last-Modified: Tue, 17 Apr 2012 07:17:55 GMT
P3P: policyref="http://anz.rd.rakuten.co.jp/w3c/p3p.xml", CP="NOI DSP COR NID DEVa PSAa OUR IND UNI NAV"
Proxy-Connection: keep-alive
Server: Apache
Set-Cookie: Rp=7c0e84b991157db251b94e6e50c15f22303e8; path=/; expires=Sat, 07-Jun-14 08:56:21 GMT; domain=.rakuten.co.jp
Vary: Accept-Encoding

あ、ほんとだ、domain 修飾が違うのね ・ω・

関連サイト:
Opera12.15が使えないので12.14に戻した件について - 今日の役に立たない一言 - Today’s Trifle! -

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です