並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 61件

新着順 人気順

samesiteの検索結果1 - 40 件 / 61件

  • Chrome 80が密かに呼び寄せる地獄 ~ SameSite属性のデフォルト変更を調べてみた - Qiita

    Chrome 79以下や他ブラウザのデフォルト値。 Chrome 80からこの値を設定する場合、Secure属性も必須となる。 Aサイトに対し、Bサイトからどのようなリクエストがあっても、発行したサイトでCookieヘッダーに含める (Cookieを使用する) 図にすると以下のようになります。 Strict 外部サイトからのアクセスではCookieを送らない。 Lax 外部サイトからのアクセスはGETリクエストのときだけCookieを送る。 None 従来通りの動き。 【追記】なおChrome 80以降でSecure属性を付けずSameSite=Noneを指定した場合、set-cookie自体が無効になります。 セキュリティ上の効果 CSRF対策になります。 CSRF (クロスサイト・リクエスト・フォージェリ) とは、 WEBサイトがユーザー本人の意図した動作であることを検証していないため

      Chrome 80が密かに呼び寄せる地獄 ~ SameSite属性のデフォルト変更を調べてみた - Qiita
    • SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog

      こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れつつ、最終的にHSTS(HTTP Strict Transport Security)のような注意点を含めて振り返るのに役立てていただければと思います。 前提条件 Cookieについて Cookieの属性について SameSite属性について SameSite属性に関する落とし穴 SameSite属性を指定しなかった場合の挙動 SameSite: Strictでも攻撃が成功するケース 例1: スキームだけ違うケース 例2: サブドメイ

        SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog
      • Google Developers Japan: 新しい Cookie 設定 SameSite=None; Secure の準備を始めましょう

        .app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads

          Google Developers Japan: 新しい Cookie 設定 SameSite=None; Secure の準備を始めましょう
        • Temporarily rolling back SameSite Cookie Changes

          $200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81

            Temporarily rolling back SameSite Cookie Changes
          • Cookie の SameSite 属性について - Cybozu Inside Out | サイボウズエンジニアのブログ

            こんにちは、フロントエンドエキスパートチームの小林(@koba04)です。 フロントエンドエキスパートチームでは、日々の業務としてブラウザやライブラリの更新情報をキャッチアップして社内で共有しています。 例えば先日、CSSのプロパティである image-orientation のデフォルト値が none から from-image に変わったため、画像の Exif 情報の扱いが変更されました。 https://www.fxsitecompat.dev/ja/docs/2020/jpeg-images-are-now-rotated-by-default-according-to-exif-data/ 注: Firefox では COVID-19 の影響により、この変更は延期されました。(Chrome は予定通り 81 で リリースしています) https://blog.chromium.o

              Cookie の SameSite 属性について - Cybozu Inside Out | サイボウズエンジニアのブログ
            • CookieのSameSite属性と4つの勘違い(2022-10版) - セキュアスカイプラス

              こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 Fetch API*1 や XMLHttpRequest*2 を使ってクロスサイトのCookieを送る・送らないの実験をする機会がありました。 そこで自分の勘違いが複数発見され、改めて「今のクロスサイト Cookie って難しいな」と感じました。 セキュリティエンジニアのみならず、開発者の方にも参考になるかと思いましたので、自分の勘違いを紹介していきたいと思います。 なお本記事では「サイト」という単語を Cookie における Same-Site の定義に沿って扱います。 Understanding “same-site” and “same-origin” 使用したWebブラウザ: Chrome(burp 同梱のChromium) 106.0.5249.62

                CookieのSameSite属性と4つの勘違い(2022-10版) - セキュアスカイプラス
              • SameSite cookies explained  |  Articles  |  web.dev

                SameSite cookies explained Stay organized with collections Save and categorize content based on your preferences. Every cookie contains a key-value pair along with a number of attributes that control when and where that cookie is used. The introduction of the SameSite attribute (defined in RFC6265bis) lets you declare whether your cookie is restricted to a first-party or same-site context. It's he

                • SameSite cookie recipes  |  Articles  |  web.dev

                  SameSite cookie recipes Stay organized with collections Save and categorize content based on your preferences. Chrome, Firefox, Edge, and others are changing their default behavior in line with the IETF proposal, Incrementally Better Cookies so that: Cookies without a SameSite attribute are treated as SameSite=Lax, meaning the default behavior is to restrict cookies to first party contexts only. C

                  • SameSite Cookie

                    SameSite cookieについて話をしました。 CookieにSameSiteを付けることでCSRFを防ぐことができます。Chrome 80からはSameSite=Laxがデフォルトになります。 以下の記事を参考にしました。 Cookie の性質を利用した攻撃と Same Site …

                      SameSite Cookie
                    • 2020 年 2 月の SameSite Cookie の変更: 知っておくべきこと

                      .app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads

                        2020 年 2 月の SameSite Cookie の変更: 知っておくべきこと
                      • HTTP クッキーをより安全にする SameSite 属性について (Same-site Cookies)

                        1. HTTP クッキーの基本動作HTTP クッキー(以下クッキーと書きます)とは、ウェブサーバー側がクライアント(ウェブブラウザ)側に保持させることができるデータのことをいいます。 クッキーの基本的な動作は以下となります。 (1) ウェブブラウザで サイトA にアクセスする ウェブブラウザで、例えば https://misc.laboradian.com/ にアクセスします。 これは言い換えると、「https://misc.laboradian.com/ というリソースを取得するためのリクエストを misc.laboradian.com というサーバー(ホスト)に送信した」ということになります。 (2) サーバーは、要求されたリソース(ページ)を返す サーバーは、要求されたリソース(ページ)を返しますが、このレスポンスにおけるヘッダ部にクッキー(と呼ばれるデータ)をセットして返すことがで

                          HTTP クッキーをより安全にする SameSite 属性について (Same-site Cookies)
                        • 「Google Chrome 80」が正式リリース ~開発者は“SameSite Cookie”の仕様変更に注意/脆弱性の修正は56件

                            「Google Chrome 80」が正式リリース ~開発者は“SameSite Cookie”の仕様変更に注意/脆弱性の修正は56件
                          • Cookie の SameSite=Lax をデフォルトにする提案仕様 - ASnoKaze blog

                            20191226 追記 SameSite属性のついたCookie自体を拒否する古いクライアントにご注意ください https://sites.google.com/a/chromium.org/dev/updates/same-site/incompatible-clients 20190823 追記 suidenOTI さまよりご指摘いただきました 不具合があったためChrome80でのリリースに延期になったようです。 https://www.chromestatus.com/feature/5088147346030592 https://www.chromestatus.com/feature/5633521622188032 20190523 追記 Firefoxでも同様の動きがあります https://groups.google.com/forum/#!msg/mozilla.de

                              Cookie の SameSite=Lax をデフォルトにする提案仕様 - ASnoKaze blog
                            • Chrome 80で導入されたCookieのSameSite属性サポートが原因でCookieの長さが上限を超え不具合が出るケースが発生 | スラド IT

                              2月4日にリリースされたGoogle Chrome 80では「SameSite Cookie」のサポート強化が行われている(OSDN Magazine)。SameSite Cookieはcookieに「SameSite」属性を指定することでいわゆる「サードパーティCookie」の挙動を制御できるものだが(過去記事)、これに関連するChromeの仕様変更に対応しようとした結果、送信されるCookie文字列が長くなり、その影響で不具合が発生するというトラブルが発生していたという(hitode909の日記)。 問題が発生したのはAmazon Web Services(AWS)のApplication Load Balance(ALB)。Chrome 80対応のためCookieに「sameSite=None」属性を追加したが、単純に属性を追加したためにそれによってCookieの文字列が長くなってし

                              • Chrome で SameSite=None に関する Cookieについての警告が表示される

                                例えば、以下のメッセージです。 A cookie associated with a cross-site resource at http://example.com/ was set without the SameSite attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with SameSite=None and Secure. You can review cookies in developer tools under Application>Storage>Cookies and see more details at https://www.chromestatus.com/feature/508814734603

                                  Chrome で SameSite=None に関する Cookieについての警告が表示される
                                • 【一問一答】 Chrome の SameSite Cookie の変更とは? : Cookie への新たなアプローチ | DIGIDAY[日本版]

                                    【一問一答】 Chrome の SameSite Cookie の変更とは? : Cookie への新たなアプローチ | DIGIDAY[日本版]
                                  • CookieのSameSite属性にFirstPartyLaxを追加する提案仕様 - ASnoKaze blog

                                    2020/11/02 追記 First-Party Sets自体はChromeへの実装が進められる一方、FirstPartyLaxについては廃止されたようです https://bugs.chromium.org/p/chromium/issues/detail?id=989171 https://chromium.googlesource.com/chromium/src/+/04aa50c66dcf995a654c1ee5fd605c6d6738fa1e Cookieのセキュリティ改善を推し進めているGoogleのMike West氏から「First-Party Sets and SameSite Cookies」という提案仕様がIETFで提出されています。 この提案仕様では、CookieのSameSite属性に下記の2つを指定できるようにします。 FirstPartyLax First

                                      CookieのSameSite属性にFirstPartyLaxを追加する提案仕様 - ASnoKaze blog
                                    • SameSite Updates

                                      Confused? Start here. Developers: Check out our testing and debugging tips. Adding `SameSite=None; Secure` to your cookies? Check the list of incompatible clients here. Check the list of Frequently Asked Questions (FAQ) for common scenarios and use cases. Launch Timeline Last updated Mar 18, 2021. Latest update: Mar 18, 2021: The flags #same-site-by-default-cookies and #cookies-without-same-site-m

                                      • Chrome 80 クッキーのSameSite属性対応のややこしい注意点2つ - こもろぐ @tenkoma

                                        2020年2月4日に Chrome 80 がリリースされました。 このバージョンでは既存のWebアプリケーションの振る舞いに大きな影響を与える変更として、クッキーのSameSite属性の既定値が変わるというのがあります。 ただし、振る舞いの変更は、2月18日以降に予定されています。(正確には「2月17日の週でアメリカ合衆国大統領の日を除く」) Enforcement rollout for Chrome 80 Stable: The SameSite-by-default and SameSite=None-requires-Secure behaviors will begin rolling out to Chrome 80 Stable for an initial limited population starting the week of February 17, 2020,

                                          Chrome 80 クッキーのSameSite属性対応のややこしい注意点2つ - こもろぐ @tenkoma
                                        • CookieのSameSite=Laxデフォルト化 アクセスログで影響調査 | Raccoon Tech Blog [株式会社ラクーンホールディングス 技術戦略部ブログ]

                                          したがってSameSite=Lax化の影響を調べるには、「アンカータグとGETのfrom以外で、異なるRegistrable Domainから生成されたリクエストでCookieを使用していないか」ということを確認する必要があります。 しかしこれを漏れなく確認していくことは、なかなか骨の折れる作業ではないでしょうか。 アクセスログのRefererヘッダを見れば、異なるRegistrable Domainから送られてきたリクエストかどうか、ある程度わかりそうな気もしますが、Refererヘッダは送られないケースが多々あったり、そもそもリクエスト生成元のタグ名を判別できなかったりと完璧ではありません。 Fetch Metadataリクエストヘッダとは Fetch Metadataリクエストヘッダとは、一言で言うと「リクエストが生成されたコンテキストをサーバ側に通知するためのヘッダ」です。 ざっく

                                            CookieのSameSite=Laxデフォルト化 アクセスログで影響調査 | Raccoon Tech Blog [株式会社ラクーンホールディングス 技術戦略部ブログ]
                                          • Developers: Get Ready for New SameSite=None; Secure Cookie Settings

                                            $200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81

                                              Developers: Get Ready for New SameSite=None; Secure Cookie Settings
                                            • SameSite=None: Known Incompatible Clients

                                              Last updated: Nov 18, 2019 Some user agents are known to be incompatible with the `SameSite=None` attribute. Versions of Chrome from Chrome 51 to Chrome 66 (inclusive on both ends). These Chrome versions will reject a cookie with `SameSite=None`. This also affects older versions of Chromium-derived browsers, as well as Android WebView. This behavior was correct according to the version of the cook

                                              • SameSite 属性を使った Cookie のセキュアな運用を考える - 30歳からのプログラミング

                                                Cookie に対しては「属性」というものを設定することができる。そして属性の設定内容によって、Cookie の生存期間を指定したり、送付先の制限を行ったりすることが可能になっている。属性のひとつであるSameSiteは、正しく使うことでセキュリティ対策やプライバシー保護に大きな効果を発揮する機能である。 ただ他の属性に比べると若干複雑で、しかも比較的新しい属性ということもあって、今のところそれほど普及していない。 しかし有用な機能であることは間違いないし、後述するように一部のブラウザベンダはSameSiteの利用を促す方針を明確にしている。 今後はSameSite属性を積極的に活用していくべきだろう。 この記事では、SameSite属性を設定した Cookie がどのように動作するのかを見ていき、その運用方法について考えていく。 Cookie の基本的な仕組みや機能については、こちらを参

                                                  SameSite 属性を使った Cookie のセキュアな運用を考える - 30歳からのプログラミング
                                                • ECにも関係するSameSite属性!カートに入れたはずの商品がない? ログインが何回も求められる? 対策方法は?

                                                  ホームECニュースEC事業者にも関係するSameSite属性!カートに入れたはずの商品がない? ログインが何回も求められる? Chrome 80の仕様変更とその影響・対策(2020年2月3日追記) EC事業者にも関係するSameSite属性!カートに入れたはずの商品がない? ログインが何回も求められる? Chrome 80の仕様変更とその影響・対策(2020年2月3日追記) 2020.01.242024.01.30 ECニュース 2020年2月4日、Googleはバージョンアップした「Google Chrome 80」をリリース予定です。 それに伴い、プライバシー保護やセキュリティ強化を目的に、Cookieの動作が一部変更されます。 そこで登場するのが、SameSite(セイムサイト)属性。 この記事では、

                                                    ECにも関係するSameSite属性!カートに入れたはずの商品がない? ログインが何回も求められる? 対策方法は?
                                                  • 2020-07-21のJS: Chrome 84(SameSite Cookie)、Vue 3 RC、React Spectrum

                                                    JSer.info #497 - Chrome 84がリリースされました。 New in Chrome 84  |  Web  |  Google Developers Chromium Blog: Chrome 84 Beta: Web OTP, Web Animations, New Origin Trials and More Chrome Platform Status: milestone=84 Web animations APIの対応改善、Content Indexing API、Wake lock API、WeakRefのサポートなどが含まれています。 また、Origin trialsとしてIdle detection、Web Assembly SIMDのサポートされています。 Fast, parallel applications with WebAssembly SIM

                                                      2020-07-21のJS: Chrome 84(SameSite Cookie)、Vue 3 RC、React Spectrum
                                                    • SameSite Cookie Changes in February 2020: What You Need to Know

                                                      $200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81

                                                        SameSite Cookie Changes in February 2020: What You Need to Know
                                                      • SameSite攻撃者がCodeIgniter4とShieldでのCSRF保護を回避できる脆弱性の解説 — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something

                                                        CodeIgniter4とCodeIgniter Shieldでの組み合わせで、CSRF保護を回避できる脆弱性に関するセキュリティ勧告が2022/08/08に公表されました。今日は、この脆弱性について解説しておきます。 SameSite Attackers may Bypass the CSRF Protection · Advisory · codeigniter4/shield なお、この攻撃方法はCodeIgniterに限定されるものではありません。 修正済みのバージョン CodeIgniter 4.2.3 CodeIgniter Shield 1.0.0-beta.2 前提条件 この脆弱性を攻撃するには、攻撃者が攻撃対象のサイトと同じドメインのサブドメインサイトを支配下に置いている必要があります。 簡単に言えば、サブドメインサイトのページを書き換えられるということです。これはそのサ

                                                        • 「Google Chrome 84」が正式公開 ~SameSite Cookieの仕様変更が再開、TLS 1.0/TLS 1.1は削除/PWAアプリではアイコンショートカットがサポート。38件の脆弱性修正も

                                                            「Google Chrome 84」が正式公開 ~SameSite Cookieの仕様変更が再開、TLS 1.0/TLS 1.1は削除/PWAアプリではアイコンショートカットがサポート。38件の脆弱性修正も
                                                          • 3PCA 21 日目: SameSite Cookie | blog.jxck.io

                                                            Intro このエントリは、 3rd Party Cookie Advent Calendar の 21 日目である。 3rd Party Cookie のカレンダー | Advent Calendar 2023 - Qiita https://qiita.com/advent-calendar/2023/3rd-party-cookie Google が 3rd Party Cookie を Deprecate していく方針を発表してから、最初に始めたのが SameSite Lax by Default だった。 これが何のために行われたのかを解説する。 eTLD+1 とは SameSite とは「eTLD+1 が同じ」という説明になる。これを理解するには eTLD を理解する必要がある。 例として example.com ドメインを持ち、そこに以下のような Cookie を付与するとこ

                                                              3PCA 21 日目: SameSite Cookie | blog.jxck.io
                                                            • Resuming SameSite Cookie Changes in July

                                                              $200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81

                                                                Resuming SameSite Cookie Changes in July
                                                              • Changes to SameSite Cookie Behavior – A Call to Action for Web Developers – Mozilla Hacks - the Web developer blog

                                                                Changes to SameSite Cookie Behavior – A Call to Action for Web Developers We are changing the default value of the SameSite attribute for cookies from None to Lax. This will greatly improve security for users. However, some web sites may depend (even unknowingly) on the old default, potentially resulting in breakage for those sites. At Mozilla, we are slowly introducing this change. And we are str

                                                                  Changes to SameSite Cookie Behavior – A Call to Action for Web Developers – Mozilla Hacks - the Web developer blog
                                                                • CookieのSameSite属性で「防げるCSRF」と「防げないCSRF」 - まったり技術ブログ

                                                                  CookieのSameSite属性はCSRF対策のために提案されたもので、その属性をCookieに付与するだけでほとんどのサイトの場合はCSRF対策が可能になります。 しかし、SameSite属性の付与が今までのCSRF対策の代わりになり、今まで行ってきたCSRF対策をしなくてよくなるというわけではありません。 CSRF対策の為に提案された属性ですが、サイトの特性によってはCSRFを防ぐことができない場合があります。 今回は、その「防げないCSRF」とはどういったものであるのか、一例をあげます。 そして実際にSameSite属性付与が付与される脆弱なサンプルサイトを使って説明していきます。 目次 目次 TL;DR サンプルアプリケーションを用いての検証 サンプルサイトの機能 CSRFの確認 CSRFトークンを用いている場合 SameSite属性を用いている場合 まとめ TL;DR 「防げる

                                                                    CookieのSameSite属性で「防げるCSRF」と「防げないCSRF」 - まったり技術ブログ
                                                                  • Rails における Chrome80 の SameSite 対応 - ボクココ

                                                                    ども、@kimihom です。 明日、2020/02/04 に Chrome 80 のリリースが予定されている。そこで巷で話題になっている SameSite の部分で対応が必要になるケースがでてくる。 ウェブ上で調べても全然その対応方法が出てなかったので、記録として残しておこう。 問題となり得るケース Rails アプリでログイン機能を実装していて、iframe で そのログインセッションを使い続けている場合、Chrome80 から問題が起こる可能性がある。その他のケースもあるので、自分の作っている Web アプリが SameSite による影響が出るのかを確認しておこう。詳しくは既にたくさんのページで紹介されているので読んでおいて欲しい。 Google Developers Japan: 新しい Cookie 設定 SameSite=None; Secure の準備を始めましょう Chr

                                                                      Rails における Chrome80 の SameSite 対応 - ボクココ
                                                                    • 「Chrome 84」の安定版公開 「SameSite Cookie」ラベル適用

                                                                      米Googleは7月14日(現地時間)、Webブラウザ安定版のアップデートとなる「Chrome 84」(バージョン84.0.4147.89。iOSはバージョン84.0.4147.71)をWindows、Mac、Linux、iOS向けに公開した。数日かけてローリングアウトしていく。 このアップデートで、新型コロナ対策で一時後退していた「SameSite Cookie」ラベルの適用が再開された。 SameSite Cookieの取り組みは、大まかには、Webサイトオーナーが明示的に許可しない限り、サードパーティー製Cookieをデフォルトでブロックするというもの。ユーザーのプライバシー保護が目的だ。これにより、ユーザーはログイン情報やユーザー設定を保持しながら広告用Cookieだけをブロックできるようになる。 セキュリティ関連では、危険度が最も高い「Critical」1件、2番目の「High」

                                                                        「Chrome 84」の安定版公開 「SameSite Cookie」ラベル適用
                                                                      • SameSite cookies - HTTP | MDN

                                                                        HTTP ガイド: リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Cookie security X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP ア

                                                                          SameSite cookies - HTTP | MDN
                                                                        • rails_same_site_cookie gemで、RailsアプリにChrome 80向けのSameSite属性を指定する - Qiita

                                                                          対応は以上です。 Rails 6.1以上の場合(2022.5.27追記) Rails 6.1からはSameSite=Laxがデフォルト値になった関係でgemをインストールするだけでは機能しなくなりました(参考)。 Rails 6.1以降でも引き続き使う場合は、config/initializersなどで以下の設定も追加する必要があります。 rails_same_site_cookie gemがやってくれること rails_same_site_cookie gemをインストールすると、自動的に全cookieにSameSite=None; Secure属性が追加されます。 ただし、iOS 12とmacOS 10.14のSafariなど、SameSite=None; Secure属性を付けると不具合が発生するブラウザ(参考)に対してはこの属性を付与しません。 rails_same_site_co

                                                                            rails_same_site_cookie gemで、RailsアプリにChrome 80向けのSameSite属性を指定する - Qiita
                                                                          • CookieのSameSite属性

                                                                            概要 Cookieに新たにSameSite属性というものが提案され、主要なブラウザで実装が進んでいる。 かつてはFirst-Party-Only Cookieと呼ばれていたもの。 https://tools.ietf.org/html/draft-west-first-party-cookies-05 クロスオリジンへのリクエスト送信時にCookieを付与しないことで、予期せぬ形での情報漏洩を緩和するのが目的。 CSRFを防げるという話ではなく、あくまで緩和という感じ。 このエントリを書いている段階で、Safari以外の主要ブラウザでは実装済みという感じ。 https://caniuse.com/#feat=same-site-cookie-attribute SameSite属性の値と挙動 値は lax と strict の2種類。 Set-Cookie: test=1; path=/;

                                                                              CookieのSameSite属性
                                                                            • The great SameSite confusion :: jub0bs.com

                                                                              In this post, I dissect a common misconception about the SameSite cookie attribute and I explore its potential impact on Web security. TL;DR ¶ The SameSite cookie attribute is not well understood. Conflating site and origin is a common but harmful mistake. The concept of site is more difficult to apprehend than meets the eye. Some requests are cross-origin but same-site. SameSite only has effects

                                                                              • 【Google Chrome】CookieのSameSite属性などをデベロッパーツールで確認する

                                                                                Webサイト/アプリで使われているCookieを手軽に調べたい! WebサイトやWebアプリでは、ユーザー認証(ログイン)や買い物かご(カート)といった機能を実現するために、「Cookie(クッキー)」がよく利用されています。そのため、当然ながらCookieがWebブラウザやWebサーバなどで正しく取り扱われないと、それらの機能は誤動作してしまいます。 もしCookieのせいと思われる問題が生じた場合、Cookieについて詳しく調べる必要があります。そのようなとき、「Google Chrome」(以下、Chromeと略)のデスクトップ版に標準装備されている「デベロッパーツール」を活用すると、手軽にCookieについて確認できます。本稿では主にWebサーバ/サイトの担当者を対象として、その手順を紹介します。仕様が変更されたSameSite属性の問題を見つける方法についても触れます。 Chro

                                                                                  【Google Chrome】CookieのSameSite属性などをデベロッパーツールで確認する
                                                                                • いまさら聞けないSameSite CookieとGoogle Chrome 80 | ecbeing

                                                                                  最近、EC担当者の間で、Google Chromeの最新版Google Chrome80に関しての話題が頻繁にでてきております。 今回のGoogle Chromeの最新のバージョンアップで一体なにが起きるのか? 本記事ではそれを詳しく解説していきたいと思います。 最近、EC担当者の間で、Google Chromeの最新版Google Chrome80に関しての話題が頻繁にでてきております。 今回のGoogle Chromeの最新のバージョンアップで一体なにが起きるのか? 本記事ではそれを詳しく解説していきたいと思います。 SameSite Cookieに関しての仕様変更 今回のGoogle Chromeのバージョンアップでは様々な仕様の変更が起きておりますが、中でも注目されているのはSameSite Cookieに関しての仕様変更です。 SameSite Cookieとはいったいなんなので

                                                                                    いまさら聞けないSameSite CookieとGoogle Chrome 80 | ecbeing