研究者:HTTPS が「スーパークッキー」に姿を変える~あなたを守るはずのセキュリティですら悪用される可能性が(The Register) | ScanNetSecurity
2026.07.06(月)

研究者:HTTPS が「スーパークッキー」に姿を変える~あなたを守るはずのセキュリティですら悪用される可能性が(The Register)

Greenhalghは、一部のブラウザがHSTSのフラグを消去できると指摘している。そのためChrome、Firefox、Operaならば、この問題はいくらか軽減される(IEはHSTSをサポートしていない)。しかし大問題なのはSafariだ。

国際 TheRegister
安全性の高いウェブプロトコル HTTPS の機能を「トラッキングの機能」へと変換する方法を、英国のコンサルタントが実証した。それは一部のブラウザにおいて根深い問題だ。

RFC 6797 で解説されている HTTP Strict Transport Security(HSTS)機能は、「安全ではない HTTP バージョンのウェブサイトに訪問したユーザー」を、暗号化された HTTPS バージョンへとリダイレクトさせるためのメカニズムである。ユーザーがブラウザに http://www.google.com と入力した場合、HSTS はユーザーを https://www.google.com へ送る。

問題は「ユーザーが『https:』のサイトを訪問するたび、ユーザーエージェント(つまり、あなたの使っているブラウザ)が毎回リダイレクトしなければならないのは面倒かもしれない」と思う人物がいたことだ。そこで HSTS の作者は、訪問したサイトの HSTS ポリシーをブラウザが記憶するメカニズムを作り上げた。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. 何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

    何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

  3. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  4. メッセージングセキュリティ現場最前線、JPAAWG 3rd General Meeting が11月11日・12日オンライン開催

    メッセージングセキュリティ現場最前線、JPAAWG 3rd General Meeting が11月11日・12日オンライン開催PR

  5. ヤフーとドコモ、「偽メールを止める」と「正しいメールを正しく認知してもらう」の両立を図るための、DMARC、BIMI、そして独自の取り組み ~ JPAAWG 5th General Meetingレポート - 1

    ヤフーとドコモ、「偽メールを止める」と「正しいメールを正しく認知してもらう」の両立を図るための、DMARC、BIMI、そして独自の取り組み ~ JPAAWG 5th General Meetingレポート - 1

ランキングをもっと見る
PageTop