HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
HTTPヘッダーフィールド2 - s-kita’s blog
汎用ヘッダーフィールド Cache-ControlCache-Controlヘッダーフィールドは、ディレクティブと呼ばれるコマンドをフィールド値に指定することで、キャッシングの動作を指定する。Cache-Controlヘッダーフィールドのディレクティブはリクエストとレスポンスの両方で使用できる。 キャッシュコントロールリクエストディレクティブ ディレクティブパラメータ説明 max-age必須レスポンスの最大Age値 max-stale省略可能期限切れのレスポンスを受け入れる min-fresh必須指定した時間は新鮮さがあるレスポンスを望む no-cacheなしオリジンサーバーへの強制的な再検証 no-storeなしキャッシュはリクエスト、レスポンスの一部分を保存してはならない no-transformなしプロキシはメディアタイプを変換してはならない only-if-cachedなしキャッシ
JVNVU#92999848: HTTP リクエスト経由で設定された Cookie によって HTTPS 接続がバイパスされたり情報漏えいが発生する問題
JVNVU#92999848 HTTP リクエスト経由で設定された Cookie によって HTTPS 接続がバイパスされたり情報漏えいが発生する問題 RFC 6265 (旧 RFC 2965) は、いわゆる Cookie による HTTP セッションの状態管理の仕組みを規定しています。RFC 6265 を実装しているほとんどのウェブブラウザでは、HTTP リクエストを通じて設定される Cookie によって、HTTPS 接続がバイパスされたり、セッション情報が取得されたりする問題が存在します。 Cookie を用いて HTTP セッションの状態管理を行う場合、様々なセキュリティ上の問題が発生する可能性があることが知られています。 例えば、RFC 6265 の Section 8.6 には次のように記載されています。 Cookies do not provide integrity gua
間違いだらけのWEBサーバ Keep-Alive - 新・浅く広くをモットーに - WEBプログラマ メモ
14:30 | Keep-Alive on / off に関する文献の多くが曖昧であることが気になっていたので、まとめてみました。Apacheのドキュメントから、Keep-Aliveの説明を拝借しますと、HTTP/1.0 の Keep-Alive 拡張と HTTP/1.1 の持続的接続の機能は、複数のリクエストが同じTCPの接続で送られる、長時間持続する HTTP セッションを提供します。つまり、Keep-Aliveは、『TCP 3ウェイハンドシェイクの節約』であるという点を理解しなければなりません。たいていの文献は『画像やCSSが多いサイトでは、接続を使い回すことにより無駄遣いをなくす』という説明をしていますが、この接続を使い回すという表現も曖昧な気がします。何となく分かった気になってしまう人も多いのではないでしょうか。それでは、まずは以下のようなhttpd.confで、Apacheの動
Googleの検索キーワードが取得できない理由と対策 | カイロスのマーケティングブログ
ついにGoogleが検索における全ての通信をSSL化した。Googleの利用者にとっては、検索サイト利用時によりセキュアな通信が確保されるメリットがあるが、マーケターにとっては頭の痛い話しである。 このGoogleの検索における通信のSSL化によって、自Webサイトへ誘導したGoogleの検索キーワードが取得できくなる。Web解析ツールでは、検索キーワードが取得できない「(not provided)」が増える。 SEO(検索エンジン最適化)によりWebへの訪問者を獲得を目指すマーケターにとって、検索キーワード別の訪問者数の分析は非常に重要だ。検索サイトの表示結果のアルゴリズムに最適なWebページの構成をチューニングが難しくなる。 今日は検索サイトからWeb解析ツールなどで検索キーワードを取得する方法をあらためて復習しながら、GoogleのSSL化のワークアラウンドを検討してみよう。 検索ワ
301リダイレクトと302リダイレクトの違い
301リダイレクトは、”Permanent Redirect”で「恒久的な転送」、一方、302リダイレクトは、”Temporary Redirect”で「一時的な転送」を表します。 恒久的?、一時的? 分かるようでよく分からない表現です。 サーチエンジンの取り扱い方に違いが出てくるのですが、たとえばSERPでの表示(インデックスの仕方)が異なってきます。 以前、GoogleのWebmaster Centralチームで働いていたVanessa Foxさんがパーソナルブログで、301リダイレクトと302リダイレクトのケーススタディを記事投稿しているので、見てみましょう。 彼女は、「www.vanessafoxnude.com」というドメインで「Vanessa Fox Nude」というサイトを運用していました。 しかし数ヶ月前に「www.nineblue.com」というドメインの「Nine By
【よく見るものを一覧で解説】HTTPステータスコードとは?コード番号別に詳しく解説
HTTPステータスコードとは、ウェブサイトにアクセスしたとき、正常な画面ではない場合に表示される3桁の数字のことです。 ウェブサイトにアクセスしたときに「404」や「503」といった数字が表示された経験はないでしょうか。HTTPステータスコードはたくさんの種類があり、それぞれ意味する内容が異なります。 そこで本記事では、それぞれのステータスコードが持つ意味や対処法、HTTPステータスコードの確認方法を解説します。 HTTPステータスコードについて知ることで、アクセスしたウェブサイトに何が起きているのかを理解できるようになるので、ぜひご参考にしてください。 この記事のポイント HTTPステータスコードは、特定の HTTP リクエストが正常に完了したかどうかを示す3桁の数値で表されるもの 大まかに200番台の成功レスポンス、300番台のリダイレクト、400番台のクライアントエラー、500番台の
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
URLエンコード・デコード|日本語URLをサクッと変換 | すぐに使える便利なWEBツール | Tech-Unlimited