HTTPSを使っているのにCookieに「secure」属性を設定していない危険なサイトが話題に 25
ストーリー by hylom
10年前の話題か 部門より
10年前の話題か 部門より
最近SSL関連の脆弱性がたびたび話題になったが、これに関連してか、HTTPSを利用しているのにCookieのsecure属性を設定していないサイトについてが話題になっているようだ(セキュリティ研究家高木浩光氏によるTogetterまとめ)。
Cookieのsecure属性については、2004年に高木浩光氏がまとめた「安全なWebアプリ開発の鉄則 2004」の「CookieにSecure属性を」以下が分かりやすいが、この属性をセットしておくと、HTTPSでの通信時にのみそのCookieが送信される、というもの。secure属性が設定されていない場合、HTTP通信の際にもそのCookieが送信されるため、通信内容を傍受するなどでセッションIDなどが盗まれる可能性がある。
高木氏が検証したところ、secure属性が設定されていないサイトとしては全日空やニコニコ動画、OCNメールなどがあった模様。
HSTSはまだ未対応ブラウザが (スコア:2)
デフォルトが危険なset-cookieの属性を一つ一つ確認するより、HSTSで一括HTTP禁止にしてしまいたい。
IE11が死ぬのはいつですかね?
Re:HSTSはまだ未対応ブラウザが (スコア:1)
IE11が死んだところで新しいIEが出るだけの話だろ
Re: (スコア:0)
死亡確認! から ゾンビ殲滅完了! まで結構間があるからなぁ
Re: (スコア:0)
8もまだ生きてるし、6すら撲滅できてないぞ。
11が死ぬとか、多分火星のテラフォーミングのほうが先じゃねぇの?
Re: (スコア:0)
IE以外では、FirefoxとChorme(クローン含む)で"HTTPS Everywhere"という拡張機能があります。
デジタル市民権団体の電子フロンティア財団(EFF)の公式です。
# 今回のCookie設定ミスの脆弱性は回避できないけどね。
Re: (スコア:0)
HSTSでもプレロードリストに登録されていないと回避できないような
Re:HSTSはまだ未対応ブラウザが (スコア:2)
アクセスしたことないなら、そもそも送るべきクッキーがないような
httpで (スコア:0)
httpでアクセスできないなら問題ない?
Re:httpで (スコア:2)
仮に、全てのブラウザが HTTP Strict Transport Security (HSTS) [ietf.org] (RFC 6797) をサポートしているのならば、Cookie に secure 属性を付ける必要は無いでしょう(Strict Transport Security を有効化した場合)。パケットの改ざんが可能な状況下においては、http 接続のページについては正規の URI で偽ページを表示させることが可能な訳なので、当該ドメインにそもそも http で接続できないようにした方が、より安全です。
ただし、現状では、HSTS をサポートしている主要ブラウザ [mozilla.org] は、Firefox と Chrome と Opera のみで、Internet Explorer と Safari はサポートしていません。従って、現状では HSTS と Cookie の secure 属性を併用するのが望ましいでしょう。
Re: (スコア:0)
> 当該ドメインにそもそも http で接続できないようにした方が、より安全です。
それは意味ない。MITMされるだけ。サーバで何をやっても無駄だと理解すべし。
Re:httpで (スコア:2)
HSTS ならば、初回の接続で MITM されない限り (または expireTime が経過したり、クライアントのブラウザの Strict Transport Security の保存データが削除されたりしない限り)、MITM を防ぐことができます。
「今後このドメインに対して http での接続を禁止する」 という情報をブラウザに記録する仕組みですので、当該ドメインへの接続に際して MITM されたとしても http 接続は成立しません。
Re: (スコア:0)
初回の接続で MITM されるって話だろ。
Re: (スコア:0)
MITM
Re: (スコア:0)
http://secure.example.jp:443/ [example.jp] みたいなリンクを踏ませれば、ClientHelloのかわりに流れるHTTPリクエストからCookieがとれます。
Re: (スコア:0)
そんなものHSTSで潰せるのでは?
Re: (スコア:0)
せいぜい頑張りな
Re: (スコア:0)
そんなものって…
どちらもわかってないのでは?
むつかしいというか現時点では無理
経路のどっかで https禁止してんじゃね? (スコア:0)
中の方で。
使いたくても使えないオチ。
Re:経路のどっかで https禁止してんじゃね? (スコア:3)
確かに内部のサーバー同士でやりとりするさいは処理能力も考慮してSSLでない部分があったりはしますね。
本来ならそこもSSLなどにするか、もしくはちゃんと橋渡ししてくれる機構を設ける必要がありますがなかなかそうはいかない場合や
インフラ側の知識をもっていない人たちが混在するとどうしても出てくる場合がありますね。
Re: (スコア:0)
企業サイトなのに(自主規制)とか(自主規制)とか(自主規制)とかで組まされるんですよ?
SSL無くても不安定なのに。
まぁ、たいしたシステムは使わないっちゃ使わないんですが。
Cookieのsecure属性については、2004年に (スコア:0)
スラドならこっちをリンクしないと。
経産省、Cookie盗聴への対策を指示 ストーリー by Oliver 2003年08月12日 13時25分
http://srad.jp/story/03/08/12/0426205/ [srad.jp]
Re: (スコア:0)
どんだけアンテナ低いねん。/.Jでも何回も出てるぞ
Re: (スコア:0)
いや、
http://srad.jp/~jbeef [srad.jp]
2012年を最後にスラドでの活動記録はなさげです
Re: (スコア:0)
本人がいたって話じゃないと思うぞ。
そうじゃなきゃ、#2729747がデマって話に。