暗号化してないHTTPで送信されたCookieの有効期限を短くしたいという議論は、Mozillaでも以前から行われてきました。「Intent to ship: Treat cookies set over non-secure HTTP as session cookies」。
もちろん、IETFでもMozillaのMartin Thomson氏らによって同様の提案がされています。
asnokaze.hatenablog.com
それに続く形で、Chromeでも非セキュアなHTTPで送信されたCookieの有効期限を短くするかという議論が行われています。
Intent to Deprecate: Nonsecurely delivered cookies.
Intent to Deprecate: Nonsecurely delivered cookies
この議論は、Webのセキュリティに関する標準化界隈で活発に活動されているGoogleのMike West氏によるMLへの投稿で始まっています。
非セキュアなHTTPで送信されたCookieの有効期限を、例えば1年にすることから初めて徐々に短くしていこうという話です。つまり、フルHTTPSにしてないサービスでは、ユーザは1年に1回ログインをし直す必要が出てきます。
(HSTSかsame-site属性がついてない場合は、第三者によって非セキュアなHTTPでCookieを送信させることが出来るのは、議論の一つとしてあります。)
送信されるCookieの何%が、非セキュアなHTTPで送信してからの時間が立っているかのパーセンタイルも共有されています。
Same-site Requests
- 20% = 0-1 days
- 40% = 2-3 days
- 60% = 37-42 days
- 80% = 120-135 days
- 90% = 273-307 days
- 93.88% = 345-388 days
- 95% = 437-492 days
- 99% = 701-789 days
Cross-site Requests
- 20% = 2-3 days
- 40% = 37-42 days
- 60% = 95-107 days
- 80% = 192-216 days
- 90% = 307-345 days
- 92.7% = 345-388 days
- 95% = 437-492 days
- 99% = 701-789 days
議論は始まったばかりですが慎重に進められていくでしょう。
Cookieのセキュリティに関する議論は根強く続けられていますが、すぐには解決できなく難しいですね。。。