Cookieの属性

第33弾

クロスサイトスクリプティング(XSS)対策としてCookieのHttpOnly属性でどこまで安全になるのか

難易度:★★★☆☆

クロスサイトスクリプティング(XSS)の緩和策として、CookieにHttpOnly属性を付与する方法が知られていますが、これはどの程度効果があるのでしょうか。デモを通じて、実はHttpOnly属性にはあまりXSS攻撃緩和の効果がないことを紹介します。

本日お伝えしたいこと
・CookieのHttpOnly属性について説明します
・CookieのHttpOnly属性でクロスサイトスクリプティング攻撃がどの程度安全になるかを説明します

・スクリプト等
https://github.com/ockeghem/web-sec-study/tree/master/httponly-cookie

動画:クロスサイトスクリプティング(XSS)対策としてCookieのHttpOnly属性でどこまで安全になるのか

第34弾

TCP/IPを理解している人ほど間違いやすい 常時SSLでもCookieのSecure属性が必要な理由

難易度:★★★☆☆

20年来のネタではありますが、TCP 80ポートが閉じられているサイトでもCookieのsecure属性は必要です。その理由について詳しく解説します。

本日お伝えしたいこと
・Cookieのsecure属性の必要性
・TCP 80ポートを閉じていればCookieのsecure属性が必要ないという誤解がある
・Cookieのsecure属性は必ず設定しましょう

動画:TCP/IPを理解している人ほど間違いやすい 常時SSLでもCookieのSecure属性が必要な理由

第35弾

常時SSLでもCookieの改ざんはできるワケ

難易度:★★★☆☆

以前、下記のブログで解説したよう常時SSLでもCookieの改変はできてしまいます。その後のブラウザ側の改善はあるものの、Cookieの改変は現在でも十分防げるわけではありません。

後半では、SafariとGoogle Chrome(およびFirefox)の挙動の違いについてデモを交えて詳しく説明します。

本日お伝えしたいこと
・Cookieの盗聴を防ぐためにCookieのSecure属性が重要でした(前回の内容)
・CookieのSecure属性を付与していても、盗聴は防げても、改ざんは防げないことを説明します
・最近のブラウザの対応状況についても解説します

HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
https://blog.tokumaru.org/2013/09/cookie-manipulation-is-possible-even-on-ssl.html

動画:常時SSLでもCookieの改ざんはできるワケ

一覧に戻る