特徴
- WebサーバがWebブラウザを識別するために発行するcookieは、WebブラウザがHTTPリクエストする際に送出される。
- cookieには認証情報等が含まれているので、盗聴の可能性がある非暗号化通信では窃取されてしまうおそれがある。
- cookieに付与できる属性の一つにSecure属性があり、HTTPリクエストにおけるURLのスキームがhttpsのときに限り、cookieが送出される。
- Webサーバがcookieを発行する際にはSecure属性を付けることが一般的である。
- Webサーバでは、cookie発行時に”Secure”を設定し、Webブラウザでは、それを参照し、HTTPS通信時にだけそのcookieを送信する。
過去問
情報処理安全確保支援士試験 令和3年度 秋期 午前2 問10
情報処理安全確保支援士試験 令和元年度 秋期 午前2 問11
ネットワークスペシャリスト試験 令和元年度 秋期 午前2 問17
【出典:情報処理安全確保支援士試験 令和3年度 秋期 午前2 問10(一部、加工あり)】
【出典:情報処理安全確保支援士試験 令和元年度 秋期 午前2 問11(一部、加工あり)】
【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午前2 問17(一部、加工あり)】
cookieにSecure属性を設定しなかったときと比較した、設定したときの動作として、適切なものはどれか。
- cookieに設定された有効期間を過ぎると、cookieが無効化される。
→Expires属性を設定した時の動作の説明です。 - JavaScriptによるcookieの読出しが禁止される。
→HttpOnly属性を設定した時の動作の説明です。 - URL内のスキームがhttpsのときだけ、Webブラウザからcookieが送出される。
→正解です。 - WebブラウザがアクセスするURL内のパスとcookieに設定されたパスのプレフィックスが一致するときだけ、Webブラウザからcookieが送出される。
→Path属性を設定した時の動作の説明です。
情報処理安全確保支援士試験 令和2年度 秋期 午前2 問12
【出典:情報処理安全確保支援士試験 令和2年度 秋期 午前2 問12(一部、加工あり)】
WebサーバがHTTP over TLS(HTTPS)通信の応答でcookieにSecure属性を設定するときのWebサーバ及びWebブラウザの処理はどれか。
- Webサーバでは、cookie発行時に”Secure=”に続いて時間を設定し、Webブラウザでは、指定された時間を参照し、指定された時間を過ぎている場合にそのcookieを削除する。
→Expires属性の説明です。 - Webサーバでは、cookie発行時に”Secure=”に続いてホスト名を設定し、Webブラウザでは、指定されたホスト名を参照し、指定されたホストにそのcookieを送信する。
→Domain属性の説明です。 - Webサーバでは、cookie発行時に”Secure”を設定し、Webブラウザでは、それを参照し、HTTPS通信時にだけそのcookieを送信する。
→正解 - Webサーバでは、cookie発行時に”Secure”を設定し、Webブラウザでは、それを参照し、Webブラウザの終了時にcookieの他の属性によらず、そのcookieを削除する。
→Expires属性を設定しないか、値として0を設定すると、cookieを削除します。