SSL で暗号化しても Cookie で secure 属性を指定しないと盗聴される可能性があるかもしれない

堅牢なお問い合わせフォームを作ることになり、規定書に Cookie には secure 属性を指定してねとありました。secure 属性なんて初めて聞いたので、ちょっと調べてみたところ、secure 属性以外にも expires 属性とかいろいろありますけど、知ってるやと思ったらこれも危険に繋がるみたい。 secure 属性って何 これを指定すると HTTPS の通信時のみクッキーを送信します。逆に指定しなければ HTTPS の時に作った Cookie が HTTP の時に見ることができてしまい、盗聴されることに繋がりますね。 expires 属性って何 クッキーの有効期限を指定するものなんですが、指定しなければブラウザを閉じたときは Cookie は破棄になるんですが、有効期限を指定した場合に危険があるみたいです。 この属性が指定されていなければ，ブラウザを起動していないユーザーが被害に

[Dai_Kamijo]

昔はfacebookもこれをやっておらずジャックされたらしい / “ SSL で暗号化しても Cookie で secure 属性を指定しないと盗聴される可能性があるかもしれないらしい | ウェブル” — Ryota Murakami@高等遊民 (@malloc007) April 14, 2016 from Twit

[ryota-murakami]

昔はfacebookもこれをやっておらずジャックされたらしい

[ls-ltr]

cookie属性は色々ある。 secure属性≠暗号化。 httpの時はクライアントに送らないでねの意。

[pcds90net]

今話題

[rokujyouhitoma]

secure属性