「2つのクッキーを使い分ける」ってのがねー (#377356) | 経産省、Cookie盗聴への対策を指示 | スラドこのプレスリリース,基本的には的を射ている提言なんだが,対策Bとして提示している [ipa.go.jp], 方法 B: 2つのクッキーを使い分ける サイトの設計上、http://... の画面と https://... の画面をまたがってセッション管理を行う必要がある場合は、2つのクッキーを発行し、一方を secure 属性付きとし、もう一方を secure 属性なしとします。https://... の画面ではセッション管理に前者のクッキーを使用し、 https://... の画面では後者のクッキーを使うようにします。 このとき、暗号化で保護が必要な画面(https:// を使うことにした画面)に対して、http:// でアクセスされても情報を表示しないように作る必要があります。そうしないと、攻撃者は、盗聴で盗み出した http:// 用のクッキーを使って、重要情報にアクセスできてしまうか
経路のセキュリティと同時にセキュアなセッション管理を:IPA 独立行政法人 情報処理推進機構
