一般社団法人 全国個人事業主支援協会

COLUMN コラム

  • 脆弱性の種類 CookieのSecure属性不備

CookieのSecure属性不備について説明していきます。

■概要
Secure属性は、Cookieに設定できる1つの属性であり、この属性が設定されている場合、Cookieは安全な暗号化された通信(HTTPS)でのみ送信されるようになります。Secure属性が未設定の場合、CookieはHTTPとHTTPSの双方で送信され、セキュリティの問題が発生する可能性があります。

■想定される被害
CookieのSecure属性不備によって、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。

・CookieがHTTP経由で送信される可能性があり、攻撃者がネットワーク上で傍受しやすくなります。

■対策
CookieのSecure属性不備の対策として挙げられるものは以下のようなものとなります。
・以下のようにSet-Cookie時にSecure属性を付与する。
Set-Cookie: Cookie=Value; expires=Sun, 30 Nov 2023 12:00:00 UTC; path=/; secure

The following two tabs change content below.

この記事をシェアする

  • Twitterでシェア
  • Facebookでシェア
  • LINEでシェア