PHPerKaigi 2021 の登壇資料です。 Cookie を使った Session 管理について解説しています。

クッキーインジェクションを試したけど再現できなかった 以前、secureクッキーの上書きに成功したことがある、というタレコミをいただいたので、HTTPSで追試してみました。 実験 というわけでHTTPSで実験してみます。適当に証明書をつくっておいてください。 同一URLでのHTTPからHTTPSへの上書きを試みる(secureなし) foo.example.com用のサーバー証明書と秘密鍵を作っておいて、それぞれexample.crt、example.keyという名前でローカルに保存しておきます。実験では間違ってexample.com用のを作ってしまって警告が出た(鍵を作る時のオレオレルートCAはキーチェーンに入れていたのだけどCNを間違った)けど、まあ結果には影響はないでしょう。同じハンドラをhttpとhttpsの両方で使います。httpsでつながれた時(プロトコルがHTTP/2かどうか
追試しました クッキーインジェクションを試したけど再現できなかった(2) ももいろテクノロジー「Cookie InjectionによるHTTPSハイジャックについて調べてみる」 クッキーの仕様を逆手に取ったなかなか興味深い攻撃方法があるよと会社の人から先週教えてもらったので試してみたんだけど、再現できなくて、ブラウザですでに対応されたっぽいね、というのを確認したのでメモ。 クッキーインジェクションとは リンク先が詳しいのですが、手短に書くと、HTTPSで保護されたページ用のsecureなクッキーに対して、同一スコープのドメインがあるとHTTPなサブドメインから上書きできちゃったり(Cookie Overwriting)、ドメイン指定の優先度の高いクッキーを使うことでHTTPSなサイトのクッキーを隠す(Cookie Shadowing)可能性があるよ、という問題。HTTPのサイトからHTTP
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 去年ぐらいからCookieに関する議論が活発に行なわれているように感じます。そこでCookie関連の最新動向について仕様の観点から幾つか列挙します。 Deprecate modification of 'secure' cookies from non-secure origins Cookie Prefixes Same-site Cookies A Retention Priority Attribute for HTTP Cookies Content Security Policy: Cookie Controls G
中間者攻撃のもとでのCookie InjectionによるHTTPSの盗聴・ハイジャックについて、次のようなアナウンスが出ている。 Vulnerability Note VU#804060 - Cookies set via HTTP requests may be used to bypass HTTPS and reveal private information JVNVU#92999848: HTTP リクエスト経由で設定された Cookie によって HTTPS 接続がバイパスされたり情報漏えいが発生する問題 ここでは、アナウンスで参照されている論文の内容を簡単にまとめてみる。 Cookies Lack Integrity: Real-World Implications (USENIX Security 2015) Cookie Injectionとは HTTPは本来ステートレ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く