Web Security Lesson

徳丸浩のウェブセキュリティ講座

常時SSLでもCookieの改ざんはできるワケ

No.35
難易度 ★★★☆☆

第35弾

以前、下記のブログで解説したよう常時SSLでもCookieの改変はできてしまいます。その後のブラウザ側の改善はあるものの、Cookieの改変は現在でも十分防げるわけではありません。

後半では、SafariとGoogle Chrome(およびFirefox)の挙動の違いについてデモを交えて詳しく説明します。

本日お伝えしたいこと

  • Cookieの盗聴を防ぐためにCookieのSecure属性が重要でした(前回の内容)
  • CookieのSecure属性を付与していても、盗聴は防げても、改ざんは防げないことを説明します
  • 最近のブラウザの対応状況についても解説します

HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
https://blog.tokumaru.org/2013/09/cookie-manipulation-is-possible-even-on-ssl.html

動画:常時SSLでもCookieの改ざんはできるワケ
TCP/IPを理解している人ほど間違いやすい 常時SSLでもCookieのSecure属性が必要な理由
CORSの原理を知って正しく使おう

過去のYouTube

お問い合わせはこちら

お問い合わせ メールマガジンのご登録