2010年5月1日(土曜日)
Cookieのpath指定はセキュリティ的に無意味
公開: 2010年5月1日23時5分頃
「共用SSLサーバの危険性が理解されていない (takagi-hiromitsu.jp)」。内容としては、「Cookieのpath指定はセキュリティ的に無意味」という話ですね。
しかし、「安全な設定」として紹介されている以下の記述は誤りであり、全く安全でない。
(~中略~)
Set-Cookie: における「path=...」指定は、じつはセキュリティ上何の効果もない*3ことが昔から知られている。
Cookieを発行するときに path=/foo/ のように指定した場合、/foo/ 以外のディレクトリでは、Cookieを直接は読み取れなくなります。しかし、iframeを使うと、/foo/のコンテンツにアクセスすることができます。/foo/のコンテンツからはそのCookieを読むことができますから、結局、Cookieにアクセスすることが可能だというわけですね。
あくまで、ドメインを変えないと駄目ということです。
※ここではさくらインターネットが例に挙げられていますが、当然、さくらインターネットに限った話ではありません。
- 「Cookieのpath指定はセキュリティ的に無意味」にコメントを書く
関連する話題: セキュリティ / secure.softbank.ne.jp
- 前(古い): 2010年4月30日(Friday)のえび日記
- 次(新しい): 2010年5月3日(Monday)のえび日記
