水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2010年のえび日記 > 2010年5月 > 2010年5月1日(土曜日)

2010年5月1日(土曜日)

Cookieのpath指定はセキュリティ的に無意味

公開: 2010年5月1日23時5分頃

共用SSLサーバの危険性が理解されていない (takagi-hiromitsu.jp)」。内容としては、「Cookieのpath指定はセキュリティ的に無意味」という話ですね。

しかし、「安全な設定」として紹介されている以下の記述は誤りであり、全く安全でない。

(~中略~)

Set-Cookie: における「path=...」指定は、じつはセキュリティ上何の効果もない*3ことが昔から知られている。

Cookieを発行するときに path=/foo/ のように指定した場合、/foo/ 以外のディレクトリでは、Cookieを直接は読み取れなくなります。しかし、iframeを使うと、/foo/のコンテンツにアクセスすることができます。/foo/のコンテンツからはそのCookieを読むことができますから、結局、Cookieにアクセスすることが可能だというわけですね。

あくまで、ドメインを変えないと駄目ということです。

※ここではさくらインターネットが例に挙げられていますが、当然、さくらインターネットに限った話ではありません。

関連する話題: セキュリティ / secure.softbank.ne.jp

人気のページ

最近の日記

関わった本など

コーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーションWeb Site Expert #13

その他サイト