http://takagi-hiromitsu.jp/diary/20100501.html#p01 スマートフォンだったのでソースが提示できなかったのですがこの話です。 userAの管理者(やその権限を奪取した攻撃者)はuserAのサイトにアクセスしてきたブラウザに保存されているuserB、C…のcookieをpathによる制限を無視して取得できます。 ここは私もうろ覚えだったのですがcookieだけの問題でもありません。 これはRFCに違反するブラウザによる誤動作といった話ではなく正常な動作です。

なるほど、この話ですね。ポインタ、ありがとうございます。 cookie だけというよりクロスサイトスクリプティングの問題のほうが大きいですね。XSS によって、cokie が取得できてしまう、という話ですね。 今回の案件は、1社のドメイン内に、別ドメインに分散されている各店の情報を集約し、各々のコンテンツベンダが管理するように変更するというものですので、これについては問題とはなりにくい状況です。 お気遣いありがとうございます。 本当は各店にサブドメイン振ってやるのがBestなんですけどね。 CDNを使うのに、ドメイン数×100万単位のランニングが発生するらしく、サブドメインでの運用は不可なんですよ。こんな案件もあるんですよね。