cookie(クッキー) |
スポンサードリンク
Webサーバが、Webブラウザを通じて訪問者のコンピュータに一時的にデータを書き込んで保存させるしくみをいいます。Cookieにはユーザに関する情報や最後にサイトを訪れた日時、そのサイトの訪問回数などを記録しておくことができます。Cookieはユーザの識別に使われ、認証システムや、WWWによるサービスをユーザごとにカスタマイズするパーソナライズシステムの要素技術として利用されています。
近年、クロスサイトスクリプティングやクロスサイトフォージェリでクッキー情報を盗むことでセッションIDを不正に操作し攻撃を仕掛ける悪意のあるユーザが多く見られるようになって来ました。その対策としてクッキーのセキュアモードでの使用が推奨されています。
→クロスサイトスクリプティングの詳細を見る
→クロスサイトフォージェリの詳細を見る
以下にセキュアなセッション管理を行うための手法を紹介します。
対策:すべてのセッション管理用のクッキーはSecure属性付きで発行する
※例 Set-Cookie: id=test; path=/; secure
※secure属性とは、暗号化通信(https)をしているときにはCookieをサーバに提示しますが、平文通信(http)のときにはCookieの提示はしないという属性になります
概要
クッキーは、Web サーバーが発行してブラウザに預ける情報です。ブラウザがクッキーの発行元と同じドメインの Web サーバーにアクセスするときには、ブラウザはそのサーバーに必ずそのクッキーを送り返します。このため、Web
ブラウザは、SSL/TLS 通信を使わないページを見るときでも、クッキーを預けてきた Web サーバーに対してクッキーを送ってしまいます。このときのクッキーは、ネットワーク通信を傍受した第三者に漏えいする可能性があります。よってセッション管理用のクッキーをSSL/TLS通信以外の場合には提示しないようにsecure属性を付けることによってセキュアなセッション管理が可能になります。
|
|
スポンサードリンク
|
|
|