アカウント名:
パスワード:
httpでアクセスできないなら問題ない?
仮に、全てのブラウザが HTTP Strict Transport Security (HSTS) [ietf.org] (RFC 6797) をサポートしているのならば、Cookie に secure 属性を付ける必要は無いでしょう(Strict Transport Security を有効化した場合)。パケットの改ざんが可能な状況下においては、http 接続のページについては正規の URI で偽ページを表示させることが可能な訳なので、当該ドメインにそもそも http で接続できないようにした方が、より安全です。
ただし、現状では、HSTS をサポートしている主要ブラウザ [mozilla.org] は、Firefox と Chrome と Opera のみで、Internet Explorer と Safari はサポートしていません。従って、現状では HSTS と Cookie の secure 属性を併用するのが望ましいでしょう。
> 当該ドメインにそもそも http で接続できないようにした方が、より安全です。
それは意味ない。MITMされるだけ。サーバで何をやっても無駄だと理解すべし。
HSTS ならば、初回の接続で MITM されない限り (または expireTime が経過したり、クライアントのブラウザの Strict Transport Security の保存データが削除されたりしない限り)、MITM を防ぐことができます。
「今後このドメインに対して http での接続を禁止する」 という情報をブラウザに記録する仕組みですので、当該ドメインへの接続に際して MITM されたとしても http 接続は成立しません。
初回の接続で MITM されるって話だろ。
MITM
http://secure.example.jp:443/ [example.jp] みたいなリンクを踏ませれば、ClientHelloのかわりに流れるHTTPリクエストからCookieがとれます。
そんなものHSTSで潰せるのでは?
せいぜい頑張りな
そんなものって…どちらもわかってないのでは?むつかしいというか現時点では無理
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
httpで (スコア:0)
httpでアクセスできないなら問題ない?
Re:httpで (スコア:2)
仮に、全てのブラウザが HTTP Strict Transport Security (HSTS) [ietf.org] (RFC 6797) をサポートしているのならば、Cookie に secure 属性を付ける必要は無いでしょう(Strict Transport Security を有効化した場合)。パケットの改ざんが可能な状況下においては、http 接続のページについては正規の URI で偽ページを表示させることが可能な訳なので、当該ドメインにそもそも http で接続できないようにした方が、より安全です。
ただし、現状では、HSTS をサポートしている主要ブラウザ [mozilla.org] は、Firefox と Chrome と Opera のみで、Internet Explorer と Safari はサポートしていません。従って、現状では HSTS と Cookie の secure 属性を併用するのが望ましいでしょう。
Re: (スコア:0)
> 当該ドメインにそもそも http で接続できないようにした方が、より安全です。
それは意味ない。MITMされるだけ。サーバで何をやっても無駄だと理解すべし。
Re:httpで (スコア:2)
HSTS ならば、初回の接続で MITM されない限り (または expireTime が経過したり、クライアントのブラウザの Strict Transport Security の保存データが削除されたりしない限り)、MITM を防ぐことができます。
「今後このドメインに対して http での接続を禁止する」 という情報をブラウザに記録する仕組みですので、当該ドメインへの接続に際して MITM されたとしても http 接続は成立しません。
Re: (スコア:0)
初回の接続で MITM されるって話だろ。
Re: (スコア:0)
MITM
Re: (スコア:0)
http://secure.example.jp:443/ [example.jp] みたいなリンクを踏ませれば、ClientHelloのかわりに流れるHTTPリクエストからCookieがとれます。
Re: (スコア:0)
そんなものHSTSで潰せるのでは?
Re: (スコア:0)
せいぜい頑張りな
Re: (スコア:0)
そんなものって…
どちらもわかってないのでは?
むつかしいというか現時点では無理