HTTP レスポンスヘッダで Set-Cookie: ~; HttpOnly
のように HttpOnly を指定された Cookie は、JavaScript から読み込むことが出来ません(保存やアクセス時の送信はされます)。
ブラウザのアドレスバーで javascript:alert(document.cookie);
というコードを実行しても、HttpOnly のない Cookie しか表示されません。
XSS 攻撃を和らげるセキュリティ対策だそうです。ちなみに気がついた範囲では Circle.ms が HttpOnly を使っています。
Windows API の InternetGetCookie でも読み込めないようになっていて、代わりに InternetGetCookieEx を使えば読み込めます。
- InternetGetCookie function
- InternetGetCookieEx function
- http://kdlib.googlecode.com/svn/trunk/imports/c/windows/wininet.d ページ内を INTERNET_COOKIE_HTTPONLY で検索
Dorothy2 の common/InternetGetCookie.dms では InternetGetCookie を呼び出しているので読み込めません。InternetGetCookieEx を呼び出す関数を使うか、あるいは設定ファイルにIDとパスワードを書いて自前でログインするなどの対策が必要です。
IE の Cookie フォルダからファイルを直接読み込む方法でも可能かとは思いますが、現在は Cookie ファイル名がランダム化されているので実用的ではないでしょう(KB2559049 のホットフィックスでファイル名の仕様が変更されたようです)。
SQLite で Cookie を管理している Firefox や Chrome については未調査です。