HTTPSを使っているのにCookieに「secure」属性を設定していない危険なサイトが話題に

スポンサードリンク

　最近SSL関連の脆弱性がたびたび話題になったが、これに関連してか、HTTPSを利用しているのにCookieのsecure属性を設定していないサイトについてが話題になっているようだ（セキュリティ研究家高木浩光氏によるTogetterまとめ）。

　Cookieのsecure属性については、2004年に高木浩光氏がまとめた「安全なWebアプリ開発の鉄則 2004」の「CookieにSecure属性を」以下が分かりやすいが、この属性をセットしておくと、HTTPSでの通信時にのみそのCookieが送信される、というもの。secure属性が設定されていない場合、HTTP通信の際にもそのCookieが送信されるため、通信内容を傍受するなどでセッションIDなどが盗まれる可能性がある。

　高木氏が検証したところ、secure属性が設定されていないサイトとしては全日空やニコニコ動画、OCNメールなどがあった模様。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
SSL 3.0の脆弱性「POODLE」はTLSにも影響する 2014年12月12日
OCNがAPOPを廃止へ、多くの利用者が平文でパスワードを送信する事態に？ 2014年12月10日
SSL 3.0に深刻な脆弱性が見つかる 2014年10月15日