最近SSL関連の脆弱性がたびたび話題になったが、これに関連してか、HTTPSを利用しているのにCookieのsecure属性を設定していないサイトについてが話題になっているようだ(セキュリティ研究家高木浩光氏によるTogetterまとめ)。 Cookieのsecure属性については、2004年に高木浩光氏がまとめた「安全なWebアプリ開発の鉄則 2004」の「CookieにSecure属性を」以下が分かりやすいが、この属性をセットしておくと、HTTPSでの通信時にのみそのCookieが送信される、というもの。secure属性が設定されていない場合、HTTP通信の際にもそのCookieが送信されるため、通信内容を傍受するなどでセッションIDなどが盗まれる可能性がある。 高木氏が検証したところ、secure属性が設定されていないサイトとしては全日空やニコニコ動画、OCNメールなどがあった模様。
![HTTPSを使っているのにCookieに「secure」属性を設定していない危険なサイトが話題に | スラド セキュリティ](https://cdn-ak-scissors.b.st-hatena.com/image/square/0c7508141007e0ab8f473171a3b03af98cfcde3e/height=288;version=1;width=512/https%3A%2F%2Fimages.srad.jp%2Ftopics%2Fsecurity_64.png)