パスワードを忘れた? アカウント作成
13603733 story
Windows

Windows 10 Insider Previewがsame-site cookieをサポート 1

ストーリー by hylom
普及なるか 部門より
headless曰く、

Windows 10 Insider Previewビルド17672で、「same-site」cookieのサポートが追加された(Microsoft Edge Dev BlogWindows Experience BlogNeowinSoftpedia)。

same-site cookieは、「SameSite」属性をcookieに追加することで他サイトに対するリクエストでのcookie送信を制御するもので、IETFが策定を進めている。現在は他サイトにリクエストを送る場合、送信先サイトのcookieがリクエストの一部として送信される。この仕組みはCSRF攻撃で悪用されることもあるが、SameSite属性を使用すれば攻撃を防ぐことが可能となる。

SameSite属性で有効な値は「strict」と「lax」の2種類。strictではナビゲーションを含むすべてのクロスサイトリクエストでcookieをブロックするため、強力なCSRF攻撃防御が可能になる一方、既存のセッション管理システムとの互換性が失われる可能性もある。この問題を回避するため、laxではクロスサイトリクエストでトップレベルのナビゲーションが発生した場合のみcookieを送信する。ただし、攻撃者はポップアップウインドウなどを使用してsame-siteリクエストを作り出すことが可能だ。

今後、Windows 10 Creators Update以降のMicrosoft EdgeとInternet Explorer 11(IE)にサポートを追加していく計画だという。ただし、same-site cookieをサポートしないWebブラウザーではこの属性を無視するため、動作に問題が発生することはない。なお、ビルド17672のsame-site cookieサポートについて、Microsoft EdgeチームはEdgeのみと説明しているが、Windows InsiderチームではEdgeおよびIEでサポートされると説明している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...