ビデオを開始

安全なWebアプリ開発の鉄則 2004 後半

Cookieにsecure属性を

• パケット盗聴によるCookie盗み出し
  
  
  • パケット盗聴をしていると
    
    
    • https:// ページの情報は暗号化されていて読めない
      
      
    • http:// ページの情報はそのまま見える
      
      
  • セッション追跡用cookieが「secure」でない場合
    
    
    • パケット盗聴していると、http:// ページ用の cookieがそのまま見える
      
      
      • リクエストヘッダの「Cookie:」フィールドに値が渡されている
        
        
• 盗んだcookieで https:// の画面にも入れるなら
  
  
  • 重要な情報を引き出せる
    
    
    • 登録情報変更画面にそのままジャンプできる場合