HTTPリクエストを通じて設定されたCookieでHTTPS接続の情報が漏えい(JVN)
IPAおよびJPCERT/CCは、Cookieを用いてHTTPセッションの状態管理を行う場合、さまざまなセキュリティ上の問題が発生する可能性があると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
RFC 6265(旧 RFC 2965)では、いわゆるCookieによるHTTPセッションの状態管理の仕組みを規定している。しかし、RFC 6265を実装しているほとんどのWebブラウザでは、HTTPリクエストを通じて設定されるCookieによって、HTTPS接続がバイパスされたり、セッション情報が取得される問題が存在する。JVNでは、この問題の対策には、Cookieに対する新たな同一生成元ポリシーのもとでより安全なCookieの取扱いを規定するために、RFC 6265やRFC 6454の更新が必要としており、また、ワークアラウンドの検討も呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
この記事の写真
/