HTTPSを使ってもCookieの改変は防げないことを実験で試してみた

寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP（アクセスポイント）があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します（Secure属性使うと盗聴は防げますが、改変は防げません）。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe

[trashtoy]

神奈川県町田市が、テスト用環境としてすっかり定着してしまった

[JULY]

ポイントは、素の http で繋げさせれば、Set-Cookie を持つレスポンスを返すことで、ブラウザにそのドメインの Cookie を食わせる事ができる、というところかな。

[p260-2001fp]

『結論としては、Cookieを改変できるかどうか（通信路上の攻撃者、Cookie Monster Bug）とは無関係に、Cookieを攻撃経路とする脆弱性は常に対処することを推奨します』

[stealthinu]

CookieはSSLでの盗聴は出来なくてもニセCookieを仕込まれる可能性があるという話。スマホによる無線接続の可能性が増えてこの手の問題もちゃんと考えないとまずいのか…

[dokatta]

クッキー焼いてる場合じゃなかった

[mumincacao]

あらやだこれは大変だからくっきーのことはおばあちゃんに相談しなきゃなのです（・ロ【みかん

[aont]

公衆Wifi恐いなあ

[mahbo]

「Cookieを改変されても構わないようにサイトを設計する」のが重要

[NOV1975]

なるほど…そういわれてみれば的な方法だけどなかなか実践となると難しいところかも

[Rinta]

中間者攻撃恐るべし。NSA辺りなら普通にやってそうだ。

[shoh8]

Cookieの改変について

[threetea0407]

なるほどという感じ

[t_f_m]

あとで

[higher_tomorrow]

今の今まで知らなかった。なんということだ。

[ravelll]

面白い

[hasegawatomoki]

「さて、ここからが本題です。文体も元に戻します。」でちょっと笑った。

[lambdalisue]

セキュリティ

[lowpowerschottky]

“Cookieを攻撃経路とする脆弱性は常に対処することを推奨します。また、盗聴防止として、CookieのSecure属性は必ず設定しましょう。”

[isrc]

SSLの正しい利用により通信路上でのHTTPメッセージの盗聴・改ざんを防ぐことができますが、Cookieに関して言えば、Secure属性の付与により盗聴は防げるものの、改ざん（強制・改変）については防御できない

[h5y1m141]

"この節は文体もハッカージャパンを真似してみましょう。ここで紹介する実験は、「偽アクセスポイント」の偽物を作ることである。そのまま悪用可能なので、良い子の皆さんは絶対に悪用しないように。約束だぞ。" ww

[Dai_Kamijo]

『攻撃者がどうやってcookieを書き換えるのでしょう？』<HTTPSだとCookie書き換えは想定しなければならない。参照 / “FuelPHPのCSRF対策トークンは何が問題だ…” https://t.co/3FDzygwhxc — 徳丸 浩 (@ockeghem) June 28, 2017 from Twitter https:

[xxxxxeeeee]

cookieのsecure属性についてのわかりやすいあれ

[gui1]

(´・ω・｀)？

[bluerabbit]

cookieの改変はチェックはcookie session store使わなくても必須ってことかー

[wata88]

中間者攻撃かー。クッキーが改変されることを考慮に入れたサイト設計が大事と。

[igrep]

“通信路上に攻撃者がいる場合でも、SSLの正しい利用により通信路上でのHTTPメッセージの盗聴・改ざんを防ぐことができますが、Cookieに関して言えば ... 改ざん（強制・改変）については防御できない”

[deep_one]

Cookieに入れて良いのはセッションIDみたいなものだけ、というのを再確認する。あとSession Fixation対策の重要性だな。

[k_gobo]

領土主張すんなｗｗｗｗｗｗｗｗｗｗ

[tak4hir0]

HTTPSを使ってもCookieの改変は防げないことを実験で試してみた | 徳丸浩の日記

[elf]

#security #http #cookie #tokumaru

[tksmd]

SSL の cookie 改変。中間 AP

[koyhoge]

なるほどこれは見事に裏をかく手法だ。Cookieにはsecure属性を付けて、必要ならHSTSを使うと。

[itochan]

またIEとSafari ＞STSが完全な防御ではなく緩和策である理由は下記の通りです。 対応ブラウザが本稿執筆時点でGoogle Chrome、Firefox、Operaであり、IEとSafariは未サポート

[taka222]

”HTTPSを使ってもCookieの改変は防げないことを実験で試してみた | 徳丸浩の日記”

[naga_sawa]

最初にMIMされてhttpで繋いじゃうとあとは漏れ漏れになる可能性があると

[witchstyle]

(2013/09/30) ブラウザ側のCookie管理機構の問題を突くことで、HTTPSで利用することを前提としたCookieの値を（通信経路に細工した環境下において）HTTP経由で上書きできてしまう ＆ HTTP Strict Transport Securityによる緩和策（not 回避

[kasajei]

ほう

[mas-higa]

職場の proxy が徳丸さんをはじくとは……家で見よう。