No.35

難易度

常時SSLでもCookieの改ざんはできるワケ

第35弾

 

常時SSLでもCookieの改ざんはできるワケ

難易度:★★★☆☆

以前、下記のブログで解説したよう常時SSLでもCookieの改変はできてしまいます。その後のブラウザ側の改善はあるものの、Cookieの改変は現在でも十分防げるわけではありません。

後半では、SafariとGoogle Chrome(およびFirefox)の挙動の違いについてデモを交えて詳しく説明します。

本日お伝えしたいこと
・Cookieの盗聴を防ぐためにCookieのSecure属性が重要でした(前回の内容)
・CookieのSecure属性を付与していても、盗聴は防げても、改ざんは防げないことを説明します
・最近のブラウザの対応状況についても解説します

HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
https://blog.tokumaru.org/2013/09/cookie-manipulation-is-possible-even-on-ssl.html

動画:常時SSLでもCookieの改ざんはできるワケ


関連動画

YouTube
back number

過去のYouTube

No.40

お昼休みにQiitaの記事を見ながらだらだらライブ配信するよ
read more

No.39

Teratailの質問を見ながらだらだら配信します。
read more
see all YouTube back number

Contact

お気軽にお問い合わせください。

Mail magazine

弊社徳丸の登壇情報はもちろん、セキュアなシステム開発を行うためのポイントや、
最近話題の脆弱性などについて配信しております。