常時SSLでもCookieの改ざんはできるワケ

以前、下記のブログで解説したよう常時SSLでもCookieの改変はできてしまいます。その後のブラウザ側の改善はあるものの、Cookieの改変は現在でも十分防げるわけではありません。

HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
https://blog.tokumaru.org/2013/09/cookie-manipulation-is-possible-even-on-ssl.html

後半では、SafariとGoogle Chrome(およびFirefox)の挙動の違いについてデモを交えて詳しく説明します。

本日お伝えしたいこと
・Cookieの盗聴を防ぐためにCookieのSecure属性が重要でした(前回の内容)
・CookieのSecure属性を付与していても、盗聴は防げても、改ざんは防げないことを説明します
・最近のブラウザの対応状況についても解説します

追記:
動画中で、「Cookieの改変そのものを防ぐことは難しい」と説明していますが、モダンなブラウザではクッキーのプレフィックス(接頭辞)を使うことで防ぐことが可能です。詳しくはMDHの解説を参照ください。

https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Set-Cookie#%E3%82%AF%E3%83%83%E3%82%AD%E3%83%BC%E3%81%AE%E6%8E%A5%E9%A0%AD%E8%BE%9E

————
■EG セキュアソリューションズ株式会社
 https://www.eg-secure.co.jp/
■お仕事の依頼はこちらから
 https://www.eg-secure.co.jp/contact/
————

powered by Auto Youtube Summarize

Twitterでフォローしよう

おすすめの記事