水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Cookieのpath指定はセキュリティ的に無意味

Cookieのpath指定はセキュリティ的に無意味

2010年5月1日(土曜日)

Cookieのpath指定はセキュリティ的に無意味

公開: 2010年5月1日23時5分頃

共用SSLサーバの危険性が理解されていない (takagi-hiromitsu.jp)」。内容としては、「Cookieのpath指定はセキュリティ的に無意味」という話ですね。

しかし、「安全な設定」として紹介されている以下の記述は誤りであり、全く安全でない。

(~中略~)

Set-Cookie: における「path=...」指定は、じつはセキュリティ上何の効果もない*3ことが昔から知られている。

Cookieを発行するときに path=/foo/ のように指定した場合、/foo/ 以外のディレクトリでは、Cookieを直接は読み取れなくなります。しかし、iframeを使うと、/foo/のコンテンツにアクセスすることができます。/foo/のコンテンツからはそのCookieを読むことができますから、結局、Cookieにアクセスすることが可能だというわけですね。

あくまで、ドメインを変えないと駄目ということです。

※ここではさくらインターネットが例に挙げられていますが、当然、さくらインターネットに限った話ではありません。

関連する話題: セキュリティ / secure.softbank.ne.jp

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト