Secure属性つきのCookieが読めなくても、書くことはできる
2013年5月20日(月曜日)
Secure属性つきのCookieが読めなくても、書くことはできる
公開: 2013年11月10日19時50分頃
とある調査をしていて、CookieのSecure属性について確認したのでメモ。
RFC6265の4.1.2.5にSecure属性についての記述があるのですが、そこにはこんな注意書きがあります。
Although seemingly useful for protecting cookies from active network attackers, the Secure attribute protects only the cookie's confidentiality. An active network attacker can overwrite Secure cookies from an insecure channel, disrupting their integrity (see Section 8.6 for more details).
HTTPSでないところでは、Secure属性つきのCookieを読むことはできないのですが、書くことはできますし、既存のものを上書きすることも可能ということです。仕様がこうなっているだけでなく、一般的なブラウザがこのような挙動をすることも確認できました。
Secure属性つきでも改変はできる、ということは頭の片隅に入れておいた方が良いかもしれません。
- 「Secure属性つきのCookieが読めなくても、書くことはできる」にコメントを書く
