Q&A
やはりそうだったんですね。
もやもやしていたのですっきりしました。
ありがとうございます!
####domain属性を指定したCookieについて
Cookieをセットする際にdomain属性を指定することでサブドメイン間で共有できますよね。
例えばCookieのdomain属性にexample.comを指定した場合、aaa.example.comでもbbb.example.comでも読み込めるようになると思います。
そこで質問なのですが、レンタルサーバーなどのように、ユーザーごとにサブドメインを使っている場合はユーザー間でも共有できるようになってしまうのでしょうか?
例えばさくらのレンタルサーバーではユーザのサブドメイン.sakura.ne.jpという形でURLが割り振られるため、あるサイト(xxx.sakura.ne.jp)がdomain属性にsakura.ne.jpを指定したCookieをセットした場合、ブラウザはその他のサイト(aaa.sakura.ne.jpやbbb.sakura.ne.jpなど)にもそのCookieを送信してしまうのでしょうか?
comやjpといったトップレベルのドメインに対してはdomain属性はセットできないという情報は見つけたのですが、sakura.ne.jpというドメインであれば指定できるのではないかと思っています。
####例
https://www.sakura.ad.jp/function/domain/subdomain.html
こちらのサービスを利用して、achoo.jpのサブドメインを使用するとします。
Aさんは aaa.achoo.jp を借り、
Bさんは bbb.achoo.jp を借りたとして、
Aさんがdomain属性を achoo.jp としたCookieをセットした場合、
Bさん側でも bbb.achoo.jp にてAさんがセットしたCookieを見れてしまうんじゃないでしょうか?
もしそれらが可能であればセッションフィクセーションなどに繋がるのではないかと気になったので質問します。
回答2件
0
ベストアンサー
もしそれらが可能であればセッションフィクセーションなどに繋がるのではないかと気になったので質問します。
その通りです。なので、セッションフィクセーションの対策は、「クッキーをセットされないようにする」のではなく、「クッキーをセットされても大丈夫なようにする」ことが重要です。具体的には、ログイン直後にセッションIDの変更をすることなどです。
サブドメインでなくてもクッキーのセットはできる場合があります。詳しくは、こちらの記事を参照下さい。
投稿2017/09/12 22:37
総合スコア11705
0
レンタルサーバーなどのように、ユーザーごとにサブドメインを使っている場合はユーザー間でも共有できるようになってしまうのでしょうか?
はい、そのとおりです。
Aさんがdomain属性を achoo.jp としたCookieをセットした場合
これは確実にセットしたほうが悪いです。ただ、evil.achoo.jpを借りれば、ドメインが「achoo.jp」のCookieを発行することで、target.achoo.jpにCookieの値を送り込むことはできてしまいます。
投稿2017/09/12 13:49
総合スコア145975
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/09/13 03:20