Ruby製Webアプリのcookie-onlyセッション破損でセキュリティリスクの可能性（翻訳）｜TechRacho by BPS株式会社

概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Session-only cookie corruption in Ruby web apps | perlkour 原文公開日: 2017/11/21 著者: perlkour RackやRailsにはクッキーモンスターがいます。 ブラウザは、ドメインやレスポンス内でcookieの数やサイズに制限を設けています。この制限を超えると、まずいことが起こる可能性があります。明らかなケースについてはRackやRailsが防止を試みますが、本記事では現在の実装で生じる問題について説明します。また、RubyのWebアプリで発生する問題の潜在的なインパクトや、問題の緩和方法についても検討します。 この情報は、（セッションIDに限らない）セッションハッシュ全体をエンコードした内容を含んでいるセッションcookieを転送するWebアプリと強く関連

[sucrose]

180バイトではなく180個っぽい ＞ “Chrome 64: cookie単位: 4,095バイト、ドメイン単位: 180バイト”