水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Cookie の secure フラグの動作が謎

Cookie の secure フラグの動作が謎

2004年8月9日(月曜日)

Cookie の secure フラグの動作が謎

更新: 2005年3月20日

とある HTTPS なログインフォームに ID とパスワードを入れてログインすると、セッション Cookie が発行されます。その Cookie には secure フラグがついていません。ここで、ドメインをそのままにスキームだけ HTTP に変えた URL に誘導してやると、非 SSL で Cookie: フィールドが流れる……。

……と思いきや、何故か Cookie: フィールドは送られず。何でやねん。

気を取り直して Firefox で試してみたら、しっかり Cookie は流れました。しかし IE6 では何度やっても Cookie 流れず。うーん、あえてそういうふうにしてあるのですかね?

※2005-03-20追記: Cookie に secure フラグがついていない件は脆弱性として処理され、修正されました。

関連する話題: セキュリティ / ニフティ / ココログ / Internet Explorer / SSL/TLS

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーションウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト