常時SSLでもCookieの改ざんはできるワケ
第35弾
常時SSLでもCookieの改ざんはできるワケ
難易度:★★★☆☆
以前、下記のブログで解説したよう常時SSLでもCookieの改変はできてしまいます。その後のブラウザ側の改善はあるものの、Cookieの改変は現在でも十分防げるわけではありません。
後半では、SafariとGoogle Chrome(およびFirefox)の挙動の違いについてデモを交えて詳しく説明します。
本日お伝えしたいこと
・Cookieの盗聴を防ぐためにCookieのSecure属性が重要でした(前回の内容)
・CookieのSecure属性を付与していても、盗聴は防げても、改ざんは防げないことを説明します
・最近のブラウザの対応状況についても解説します
HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
https://blog.tokumaru.org/2013/09/cookie-manipulation-is-possible-even-on-ssl.html
関連動画
Mail magazine
弊社徳丸の登壇情報はもちろん、セキュアなシステム開発を行うためのポイントや、
最近話題の脆弱性などについて配信しております。