今話題の脆弱性について自社サイトは大丈夫ですか? - Qiita今某サイトの下記の脆弱性が話題です 最近弊社ではRuby on Railsなので自社での状況を確認しました 1. 認証CookieにSecure属性をつけていない どのような問題が? HTTP通信でCookieが送られてしまうため、暗号化されていないため、信用できないWiFiを利用した場合などに、登録している情報ややり取りの履歴が盗まれる可能性がある。 参考情報 Secure 属性がついた Cookie は HTTPS プロトコル上の暗号化されたリクエストでのみサーバーに送信され、安全でない HTTP では決して送信されないため、中間者攻撃者が簡単にアクセスすることはできません。(URL に http: を含む) 安全でないサイトは、 Secure 属性を使用して Cookie を設定することができません。 https://developer.mozilla.org/ja/docs/Web
