水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Secure属性つきのCookieが読めなくても、書くことはできる

Secure属性つきのCookieが読めなくても、書くことはできる

2013年5月20日(月曜日)

Secure属性つきのCookieが読めなくても、書くことはできる

公開: 2013年11月10日19時50分頃

とある調査をしていて、CookieのSecure属性について確認したのでメモ。

RFC6265の4.1.2.5にSecure属性についての記述があるのですが、そこにはこんな注意書きがあります。

Although seemingly useful for protecting cookies from active network attackers, the Secure attribute protects only the cookie's confidentiality. An active network attacker can overwrite Secure cookies from an insecure channel, disrupting their integrity (see Section 8.6 for more details).

以上、RFC6265 4.1.2.5. The Secure Attribute より

HTTPSでないところでは、Secure属性つきのCookieを読むことはできないのですが、書くことはできますし、既存のものを上書きすることも可能ということです。仕様がこうなっているだけでなく、一般的なブラウザがこのような挙動をすることも確認できました。

Secure属性つきでも改変はできる、ということは頭の片隅に入れておいた方が良いかもしれません。

関連する話題: セキュリティ / Cookie

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト