teratail
回答率
85.30%
teratail header banner
teratail header banner
質問するログイン新規登録
トップセキュリティーに関する質問Cookieは暗号化されていれば盗まれてもいいの?

編集履歴

回答編集履歴

3

文字化けを修正

2022/11/13 10:05

投稿

yasulab
yasulab

スコア17

answer CHANGED
@@ -1,18 +1,18 @@
1
- Railsチュートリアル運営チームの安川です!直後の文で補足されているように、セッションハイジャックの可能性は常に付きまといます ><????
2
-
3
- > ただし今述べたことは、sessionメソッドで作成した「一時セッション」にしか該当しません。cookiesメソッドで作成した「永続的セッション」ではそこまで断言はできません。永続的なcookiesには、セッションハイジャックという攻撃を受ける可能性が常につきまといます。ユーザーのブラウザ上に保存される情報については、第9章でもう少し注意深く扱うことにします。
4
- > [https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function](https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function)
5
-
6
- では sessions のときには暗号化せずに、cookies のときは暗号化しているのか (どっちみちセッションハイジャックされるとダメなら無駄では??) の理由についてですが、こちらはセキュリティの専門家である [@ockeghem](https://twitter.com/ockeghem) さんが Quora で回答した次の解説が分かりやすいかなと思います ????
7
-
8
- > Q. セッションを暗号化することになんの意味がありますか?暗号化したとしても、その暗号化したものを使ってリクエストしてしまえばサーバー側で復号してくれるので通ってしまうと思います。
9
- > [https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi](https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi)
10
-
11
- なお、上記で回答されている徳丸先生には、Railsチュートリアルを題材にしたセキュリティ入門についても解説していただきました。登壇時の内容およびスライド資料などは下記の記事にまとめています。ご参考になれば幸いです。
12
-
13
- > ???? Railsエンジニアのためのウェブセキュリティ入門に参加
14
- > [https://yasslab.jp/ja/news/secure-programming-with-rails](https://yasslab.jp/ja/news/secure-programming-with-rails)
15
- >
16
- > [![Tokumaru-san no Slide](b55bfd71a68d87cca174448268b24b12.jpeg)](https://twitter.com/yasulab/status/1121016150182096896)
17
-
1
+ Railsチュートリアル運営チームの安川です!直後の文で補足されているように、セッションハイジャックの可能性は常に付きまといます
2
+
3
+ > ただし今述べたことは、sessionメソッドで作成した「一時セッション」にしか該当しません。cookiesメソッドで作成した「永続的セッション」ではそこまで断言はできません。永続的なcookiesには、セッションハイジャックという攻撃を受ける可能性が常につきまといます。ユーザーのブラウザ上に保存される情報については、第9章でもう少し注意深く扱うことにします。
4
+ > [https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function](https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function)
5
+
6
+ では sessions のときには暗号化せずに、cookies のときは暗号化しているのか (どっちみちセッションハイジャックされるとダメなら無駄では??) の理由についてですが、こちらはセキュリティの専門家である [@ockeghem](https://twitter.com/ockeghem) さんが Quora で回答した次の解説が分かりやすいかなと思います
7
+
8
+ > Q. セッションを暗号化することになんの意味がありますか?暗号化したとしても、その暗号化したものを使ってリクエストしてしまえばサーバー側で復号してくれるので通ってしまうと思います。
9
+ > [https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi](https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi)
10
+
11
+ なお、上記で回答されている徳丸先生には、Railsチュートリアルを題材にしたセキュリティ入門についても解説していただきました。登壇時の内容およびスライド資料などは下記の記事にまとめています。ご参考になれば幸いです。
12
+
13
+ > Railsエンジニアのためのウェブセキュリティ入門に参加
14
+ > [https://yasslab.jp/ja/news/secure-programming-with-rails](https://yasslab.jp/ja/news/secure-programming-with-rails)
15
+ >
16
+ > [![Tokumaru-san no Slide](b55bfd71a68d87cca174448268b24b12.jpeg)](https://twitter.com/yasulab/status/1121016150182096896)
17
+
18
18
  技術の変化に伴ってRailsチュートリアル自体も更新を加える必要もあるため、現在はチームでコンテンツの更新に日々励んでいます!他にも何か気になる点がありましたら [@RailsTutorialJP](https://twitter.com/RailsTutorialJP) までご連絡いただけると嬉しいです (>人< )✨

2

Fix typo

2020/02/06 13:02

投稿

yasulab
yasulab

スコア17

answer CHANGED
@@ -3,7 +3,7 @@
3
3
  > ただし今述べたことは、sessionメソッドで作成した「一時セッション」にしか該当しません。cookiesメソッドで作成した「永続的セッション」ではそこまで断言はできません。永続的なcookiesには、セッションハイジャックという攻撃を受ける可能性が常につきまといます。ユーザーのブラウザ上に保存される情報については、第9章でもう少し注意深く扱うことにします。
4
4
  > [https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function](https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function)
5
5
 
6
- では sessions のときには暗号化せずに、cookies のときは暗号化しているのか (どっちみちセッションハイジャックされるとダメなら無駄では??) の理由についてですが、こちらはセキュリティの専門家である [@ockeghem](https://twitter.com/ockeghem) さんが Quora で回答した次の解説が分かりやすいかなと思います ;)
6
+ では sessions のときには暗号化せずに、cookies のときは暗号化しているのか (どっちみちセッションハイジャックされるとダメなら無駄では??) の理由についてですが、こちらはセキュリティの専門家である [@ockeghem](https://twitter.com/ockeghem) さんが Quora で回答した次の解説が分かりやすいかなと思います ????
7
7
 
8
8
  > Q. セッションを暗号化することになんの意味がありますか?暗号化したとしても、その暗号化したものを使ってリクエストしてしまえばサーバー側で復号してくれるので通ってしまうと思います。
9
9
  > [https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi](https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi)
@@ -15,4 +15,4 @@
15
15
  >
16
16
  > [![Tokumaru-san no Slide](b55bfd71a68d87cca174448268b24b12.jpeg)](https://twitter.com/yasulab/status/1121016150182096896)
17
17
 
18
- 技術の変化に伴い、Railsチュートリアル自体も日々更新を加える必要あるため、現在はチームで日々コンテンツ更新し続けています!何か不測の点ありましたら [@RailsTutorialJP](https://twitter.com/RailsTutorialJP) までご連絡いただけると嬉しいです (>人< )✨
18
+ 技術の変化に伴ってRailsチュートリアル自体も更新を加える必要あるため、現在はチームでコンテンツ更新に日々励んでいます!他にも何か気にる点がありましたら [@RailsTutorialJP](https://twitter.com/RailsTutorialJP) までご連絡いただけると嬉しいです (>人< )✨

1

Typo fixed!

2020/02/06 13:02

投稿

yasulab
yasulab

スコア17

answer CHANGED
@@ -1,9 +1,9 @@
1
- Railsチュートリアル運営チームの安川です!直後の文で補足されているように、セッションハイジャックの可能性常に付きまといます ><????
1
+ Railsチュートリアル運営チームの安川です!直後の文で補足されているように、セッションハイジャックの可能性常に付きまといます ><????
2
2
 
3
3
  > ただし今述べたことは、sessionメソッドで作成した「一時セッション」にしか該当しません。cookiesメソッドで作成した「永続的セッション」ではそこまで断言はできません。永続的なcookiesには、セッションハイジャックという攻撃を受ける可能性が常につきまといます。ユーザーのブラウザ上に保存される情報については、第9章でもう少し注意深く扱うことにします。
4
4
  > [https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function](https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function)
5
5
 
6
- では sessions のときには暗号化せずに、cookies は暗号化しているのか (加えてセッションハイジャックされるなら暗号化する必要あるの?) の理由についてですが、こちらはセキュリティの専門家である [@ockeghem](https://twitter.com/ockeghem) さんが Quora で回答した次の解説が分かりやすいかなと思います ;)
6
+ では sessions のときには暗号化せずに、cookies のときは暗号化しているのか (どっちみちセッションハイジャックされるとダメなら無駄では??) の理由についてですが、こちらはセキュリティの専門家である [@ockeghem](https://twitter.com/ockeghem) さんが Quora で回答した次の解説が分かりやすいかなと思います ;)
7
7
 
8
8
  > Q. セッションを暗号化することになんの意味がありますか?暗号化したとしても、その暗号化したものを使ってリクエストしてしまえばサーバー側で復号してくれるので通ってしまうと思います。
9
9
  > [https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi](https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi)
@@ -15,5 +15,4 @@
15
15
  >
16
16
  > [![Tokumaru-san no Slide](b55bfd71a68d87cca174448268b24b12.jpeg)](https://twitter.com/yasulab/status/1121016150182096896)
17
17
 
18
-
19
18
  技術の変化に伴い、Railsチュートリアル自体も日々更新を加える必要があるため、現在はチームで日々コンテンツを更新し続けています!何か不測の点などありましたら [@RailsTutorialJP](https://twitter.com/RailsTutorialJP) までご連絡いただけると嬉しいです (>人< )✨