SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog
こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れつつ、最終的にHSTS(HTTP Strict Transport Security)のような注意点を含めて振り返るのに役立てていただければと思います。 前提条件 Cookieについて Cookieの属性について SameSite属性について SameSite属性に関する落とし穴 SameSite属性を指定しなかった場合の挙動 SameSite: Strictでも攻撃が成功するケース 例1: スキームだけ違うケース 例2: サブドメイ
ChromeがHTTPSに優先アクセスする307リダイレクトをHSTS関係なくやるようになった - Code Day's Night
2023年11月1日の時点の情報です。 先にまとめを書きます。興味があれば詳細もどうぞ。 まとめ 10月16日のChrome 118からHTTPS ファーストモードがデフォルトでオンに 条件によってHTTPS Upgradeが働いてhttpのサイトにアクセスするとhttpsに優先的にアクセスさせる挙動(Chromeが内部で擬似的に307リダイレクトを返してhttpsに誘導) HSTSサイトではないhttpサイトでもこの挙動となるケースがある httpsにアクセスできない場合やレスポンスに3秒以上かかる場合はフォールバックでhttpに誘導(Chromeが内部で擬似的に307リダイレクトを返して元のhttpに誘導) 詳細 条件 307で擬似的にリダイレクトする条件は、いくつかあるようです。把握しているものを列挙します。 HSTSサイト(HSTSヘッダ指定、Preloadリストのサイト) HST
Is Secure Cookie secure? - CookieのSecure属性・__Host-プレフィックス・HSTSを正しく理解しよう - Flatt Security Blog
こんにちは、 @okazu_dm です。 前回の記事 に引き続きCookie関連のセキュリティに関する記事となります。 今回は、Cookieの仕様を定めたRFC6265(https://datatracker.ietf.org/doc/html/rfc6265)自体に含まれるSecure属性の問題点と、その対策について紹介していきます。 CookieのSecure属性自体は前回紹介したSameSite属性と比較してわかりやすいのもあり、かなり知名度が高いと思われますが、Secure属性単体で守れる範囲というのは実は限定的である、という点を本記事では実験も交えて示していきます。 なお、本記事はセキュリティ以外の分野を主業務とするソフトウェアエンジニアを主な想定読者として書いています。 記事内の検証につかったブラウザのバージョン Cookieについて 中間者攻撃の仕組み 実際に中間者攻撃をして
はじめに Webサイトがどのように表示されるのかを知るために『What happens when...』を読みました。 しかし、HSTSが何なのか理解できず、かなり最初の方でつまづいてしまったので、今回の記事では自分が調べたことをまとめたいと思います。 「HSTSをチェックする」 以下が『What happens when...』で書かれていた説明です。 ブラウザは"preloaded HSTS(HTTP Strict Transport Security)"リストを調べます。これはHTTPSでのみリクエストを送るように求めているウェブサイトの一覧です。 もしそのウェブサイトがリストにあれば、ブラウザはHTTPではなくHTTPSでリクエストを送ります。なければ最初のリクエストはHTTPで送られます。ウェブサイトは、HSTS一覧になくてもHSTSポリシーを利用可能であることに注意してください
以下の記事の続きです。 Rails: config.force_ssl = true によるHSTSの動作をローカル環境とChromeで試してみた 参考: Rails API ActionDispatch::SSL ⚓Rails 5と6のHSTS設定方法 Rails 5以降では、config/environments/production.rbで以下の設定をコメント解除すると、production環境で強制的にHTTPS通信を試みるようになり、同時にHSTS「も」有効になります。 config.force_ssl = true ドキュメント: Rails アプリケーションを設定する - Railsガイド production環境のRailsサーバーでHSTS(HTTP Strict Transport Security)が有効になると、サーバーからのHTTPレスポンスに以下のようなStri
Rails: config.force_ssl = true によるHSTSの動作をローカル環境とChromeで試してみた|TechRacho by BPS株式会社
2020.06.12 Rails: config.force_ssl = true によるHSTSの動作をローカル環境とChromeで試してみた こんにちは、hachi8833です。RailsのHSTS周りでハマったので、自分のためにメモします。 Rails 5.0以降ではforce_sslでHSTSも有効になる Rails 5.0以降では、アプリケーション設定でconfig.force_ssl = trueを指定すると、HSTS設定「も」同時に有効になります。 参考: Rails 5 adds more control to fine tuning SSL usage | BigBinary Blog 参考: HTTP Strict Transport Security - Wikipedia HTTP Strict Transport Security (エイチティーティーピー・ストリ
[レベル: 上級] Google Chrome が HTTPS をデフォルトのプロトコルとしてウェブページに接続するようになるかもしれません。 現在は HTTP がデフォルト プロトコル https または http のプロトコルを付けずに URL をオムニボックス(Chrome の URL バー)に打ち込んでアクセスした場合、現在は http:// を自動的に付加してそのページに Chrome はアクセスします。 たとえば、[example.com] とだけ入力してアクセスすると [http://example.com/] の URL に置き換えて Chrome はリクエストを送信します。 もしサイトが HTTPS 対応していてかつリダイレクト設定していれば [https://example.com/] にリダイレクトされて、再度接続し直します(※HSTS を設定していない場合、詳しくは
HSTSプリロードリストについて調べてみた
HSTSプリロードリスト ついて調べてみた 0. 簡単まとめ HSTS (Http Strict Transport Security) あるサイトにおいてHTTPSで通信することを強制する仕組み http://example.com/ へアクセスしようとした時にブラウザが自動で https://example.com にアクセスする WEBサイトにアクセスした時に、サーバーがレスポンスで「次回以降HTTPSでアクセスしてね」と通知をすることで、ブラウザが常にHTTPSでアクセスするようになる HTTPS通信を強制できるため中間者攻撃の盗聴、改ざんなどへの有効な対策になる 初回はHTTPでアクセスする可能性があるためリスクが残る HSTSプリロードリスト HSTSに対応したサイト(https通信を要求するサイト)のリスト 事前にブラウザがHSTSプリロードリストに登録されているか確認するこ
HTTPS adoption has been steadily increasing in recent years. Per the HTTP Archive's 2021 Web Almanac, around 91% of all requests for both desktop and mobile were served over HTTPS. HTTPS isn't just here to stay, it's a necessary prerequisite to use features such as Service Worker and modern protocols such as HTTP/2 and HTTP/3. Recently Neil Craig—a lead technical Architect at the BBC—tweeted that
HSTS(HTTP Strict Transport Security)についてまとめる - Qiita
はじめに セキュリティの重要性が増してくる昨今、Webサイトにも様々なセキュリティ強化の規格が策定されています。 その中でも、対応サイトが増えているように感じるHSTS(HTTP Strict Transport Security)についてまとめました。 HSTS(HTTP Strict Transport Security)とは? HTTPレスポンスヘッダにHSTSに関する事項を記載することで、指定した有効期間内はブラウザ(ユーザエージェント)が同一ドメインにアクセスする際はTLSによる通信を強制する仕組みです。 つまり、HTTPでアクセスしようとしても、ブラウザが「このドメインはHTTPSでアクセスするドメインだ!」と覚えていてくれて、HTTPSでリクエストを送ってくれるということですね。 HSTS(HTTP Strict Transport Security)はRFC6797で規定さ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HTTP Strict Transport Security(HSTS)とは?
Rails 5と6のHSTS設定方法|TechRacho by BPS株式会社
ChromeでHTTPS接続がデフォルトになるかも、HSTSはもう不要?
How the BBC is rolling out HSTS for better security and performance. | Articles | web.dev