アカウント名:
パスワード:
デフォルトが危険なset-cookieの属性を一つ一つ確認するより、HSTSで一括HTTP禁止にしてしまいたい。IE11が死ぬのはいつですかね?
IE11が死んだところで新しいIEが出るだけの話だろ
死亡確認! から ゾンビ殲滅完了! まで結構間があるからなぁ
8もまだ生きてるし、6すら撲滅できてないぞ。11が死ぬとか、多分火星のテラフォーミングのほうが先じゃねぇの?
IE以外では、FirefoxとChorme(クローン含む)で"HTTPS Everywhere"という拡張機能があります。
デジタル市民権団体の電子フロンティア財団(EFF)の公式です。
# 今回のCookie設定ミスの脆弱性は回避できないけどね。
HSTSでもプレロードリストに登録されていないと回避できないような
アクセスしたことないなら、そもそも送るべきクッキーがないような
httpでアクセスできないなら問題ない?
仮に、全てのブラウザが HTTP Strict Transport Security (HSTS) [ietf.org] (RFC 6797) をサポートしているのならば、Cookie に secure 属性を付ける必要は無いでしょう(Strict Transport Security を有効化した場合)。パケットの改ざんが可能な状況下においては、http 接続のページについては正規の URI で偽ページを表示させることが可能な訳なので、当該ドメインにそもそも http で接続できないようにした方が、より安全です。
ただし、現状では、HSTS をサポートしている主要ブラウザ [mozilla.org] は、Firefox と Chrome と Opera のみで、Internet Explorer と Safari はサポートしていません。従って、現状では HSTS と Cookie の secure 属性を併用するのが望ましいでしょう。
> 当該ドメインにそもそも http で接続できないようにした方が、より安全です。
それは意味ない。MITMされるだけ。サーバで何をやっても無駄だと理解すべし。
HSTS ならば、初回の接続で MITM されない限り (または expireTime が経過したり、クライアントのブラウザの Strict Transport Security の保存データが削除されたりしない限り)、MITM を防ぐことができます。
「今後このドメインに対して http での接続を禁止する」 という情報をブラウザに記録する仕組みですので、当該ドメインへの接続に際して MITM されたとしても http 接続は成立しません。
初回の接続で MITM されるって話だろ。
MITM
http://secure.example.jp:443/ [example.jp] みたいなリンクを踏ませれば、ClientHelloのかわりに流れるHTTPリクエストからCookieがとれます。
そんなものHSTSで潰せるのでは?
せいぜい頑張りな
そんなものって…どちらもわかってないのでは?むつかしいというか現時点では無理
中の方で。使いたくても使えないオチ。
確かに内部のサーバー同士でやりとりするさいは処理能力も考慮してSSLでない部分があったりはしますね。本来ならそこもSSLなどにするか、もしくはちゃんと橋渡ししてくれる機構を設ける必要がありますがなかなかそうはいかない場合やインフラ側の知識をもっていない人たちが混在するとどうしても出てくる場合がありますね。
企業サイトなのに(自主規制)とか(自主規制)とか(自主規制)とかで組まされるんですよ?SSL無くても不安定なのに。
まぁ、たいしたシステムは使わないっちゃ使わないんですが。
スラドならこっちをリンクしないと。
経産省、Cookie盗聴への対策を指示 ストーリー by Oliver 2003年08月12日 13時25分http://srad.jp/story/03/08/12/0426205/ [srad.jp]
どんだけアンテナ低いねん。/.Jでも何回も出てるぞ
いや、http://srad.jp/~jbeef [srad.jp]2012年を最後にスラドでの活動記録はなさげです
本人がいたって話じゃないと思うぞ。そうじゃなきゃ、#2729747がデマって話に。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
HSTSはまだ未対応ブラウザが (スコア:2)
デフォルトが危険なset-cookieの属性を一つ一つ確認するより、HSTSで一括HTTP禁止にしてしまいたい。
IE11が死ぬのはいつですかね?
Re:HSTSはまだ未対応ブラウザが (スコア:1)
IE11が死んだところで新しいIEが出るだけの話だろ
Re: (スコア:0)
死亡確認! から ゾンビ殲滅完了! まで結構間があるからなぁ
Re: (スコア:0)
8もまだ生きてるし、6すら撲滅できてないぞ。
11が死ぬとか、多分火星のテラフォーミングのほうが先じゃねぇの?
Re: (スコア:0)
IE以外では、FirefoxとChorme(クローン含む)で"HTTPS Everywhere"という拡張機能があります。
デジタル市民権団体の電子フロンティア財団(EFF)の公式です。
# 今回のCookie設定ミスの脆弱性は回避できないけどね。
Re: (スコア:0)
HSTSでもプレロードリストに登録されていないと回避できないような
Re:HSTSはまだ未対応ブラウザが (スコア:2)
アクセスしたことないなら、そもそも送るべきクッキーがないような
httpで (スコア:0)
httpでアクセスできないなら問題ない?
Re:httpで (スコア:2)
仮に、全てのブラウザが HTTP Strict Transport Security (HSTS) [ietf.org] (RFC 6797) をサポートしているのならば、Cookie に secure 属性を付ける必要は無いでしょう(Strict Transport Security を有効化した場合)。パケットの改ざんが可能な状況下においては、http 接続のページについては正規の URI で偽ページを表示させることが可能な訳なので、当該ドメインにそもそも http で接続できないようにした方が、より安全です。
ただし、現状では、HSTS をサポートしている主要ブラウザ [mozilla.org] は、Firefox と Chrome と Opera のみで、Internet Explorer と Safari はサポートしていません。従って、現状では HSTS と Cookie の secure 属性を併用するのが望ましいでしょう。
Re: (スコア:0)
> 当該ドメインにそもそも http で接続できないようにした方が、より安全です。
それは意味ない。MITMされるだけ。サーバで何をやっても無駄だと理解すべし。
Re:httpで (スコア:2)
HSTS ならば、初回の接続で MITM されない限り (または expireTime が経過したり、クライアントのブラウザの Strict Transport Security の保存データが削除されたりしない限り)、MITM を防ぐことができます。
「今後このドメインに対して http での接続を禁止する」 という情報をブラウザに記録する仕組みですので、当該ドメインへの接続に際して MITM されたとしても http 接続は成立しません。
Re: (スコア:0)
初回の接続で MITM されるって話だろ。
Re: (スコア:0)
MITM
Re: (スコア:0)
http://secure.example.jp:443/ [example.jp] みたいなリンクを踏ませれば、ClientHelloのかわりに流れるHTTPリクエストからCookieがとれます。
Re: (スコア:0)
そんなものHSTSで潰せるのでは?
Re: (スコア:0)
せいぜい頑張りな
Re: (スコア:0)
そんなものって…
どちらもわかってないのでは?
むつかしいというか現時点では無理
経路のどっかで https禁止してんじゃね? (スコア:0)
中の方で。
使いたくても使えないオチ。
Re:経路のどっかで https禁止してんじゃね? (スコア:3)
確かに内部のサーバー同士でやりとりするさいは処理能力も考慮してSSLでない部分があったりはしますね。
本来ならそこもSSLなどにするか、もしくはちゃんと橋渡ししてくれる機構を設ける必要がありますがなかなかそうはいかない場合や
インフラ側の知識をもっていない人たちが混在するとどうしても出てくる場合がありますね。
Re: (スコア:0)
企業サイトなのに(自主規制)とか(自主規制)とか(自主規制)とかで組まされるんですよ?
SSL無くても不安定なのに。
まぁ、たいしたシステムは使わないっちゃ使わないんですが。
Cookieのsecure属性については、2004年に (スコア:0)
スラドならこっちをリンクしないと。
経産省、Cookie盗聴への対策を指示 ストーリー by Oliver 2003年08月12日 13時25分
http://srad.jp/story/03/08/12/0426205/ [srad.jp]
Re: (スコア:0)
どんだけアンテナ低いねん。/.Jでも何回も出てるぞ
Re: (スコア:0)
いや、
http://srad.jp/~jbeef [srad.jp]
2012年を最後にスラドでの活動記録はなさげです
Re: (スコア:0)
本人がいたって話じゃないと思うぞ。
そうじゃなきゃ、#2729747がデマって話に。