水無月ばけらのえび日記

Cookie の secure フラグの動作が謎

更新: 2005年3月20日

とある HTTPS なログインフォームに ID とパスワードを入れてログインすると、セッション Cookie が発行されます。その Cookie には secure フラグがついていません。ここで、ドメインをそのままにスキームだけ HTTP に変えた URL に誘導してやると、非 SSL で Cookie: フィールドが流れる……。

……と思いきや、何故か Cookie: フィールドは送られず。何でやねん。

気を取り直して Firefox で試してみたら、しっかり Cookie は流れました。しかし IE6 では何度やっても Cookie 流れず。うーん、あえてそういうふうにしてあるのですかね?

※2005-03-20追記: Cookie に secure フラグがついていない件は脆弱性として処理され、修正されました。

• 「Cookie の secure フラグの動作が謎」へのコメント (2件)

関連する話題: セキュリティ / ニフティ / ココログ / Internet Explorer / SSL/TLS