teratail header banner
teratail header banner
質問するログイン新規登録
Cookie

HTTPにおけるCookieとは、クライアントのウェブブラウザ上に保存された一時的なデータを指します。クライアント側のJavaScriptでも、サーバー側のHTTPヘッダーでもクッキーの読み書き・修正・削除が可能です。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Q&A

2回答

538閲覧

Cookieの値について

a.com

総合スコア917

Cookie

HTTPにおけるCookieとは、クライアントのウェブブラウザ上に保存された一時的なデータを指します。クライアント側のJavaScriptでも、サーバー側のHTTPヘッダーでもクッキーの読み書き・修正・削除が可能です。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

0グッド

1クリップ

投稿2022/06/03 13:42

0

1

Cookieに保存する値を自由に設定できたとしてもセキュリティ上問題ないでしょうか?
例えばユーザーが入力した検索履歴なとです。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

otn

2022/06/04 01:46

「自由に設定する」の主語は誰ですか?
a.com

2022/06/05 02:44

第三者です。
otn

2022/06/05 02:51

第三者であれば、問題ありに決まっているのでは?すでに攻撃受けている状態。
a.com

2022/06/05 03:11

検索クエリなどを第三者の指定した値が設定できるサイトがあります。 以下のような https://teratail.com/search?q=hogehoge
otn

2022/06/05 04:33

> 以下のような URLが間違ってます。
guest

回答2

0

問題が逆です。書き換えられても問題ない(もしくは不適当な値が来たらエラーにする)ようにサイトを作る側が設計する必要があります。

「Cookieに保存する値を自由に設定できたとしても」は仮定ではなく、現実に可能な問題です。

投稿2022/06/03 13:48

maisumakun

総合スコア146702

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

maisumakun

2022/06/03 13:52

Cookieの中身は、ブラウザの開発ツールからも編集できます。
a.com

2022/06/06 06:54

ありがとうございます。回答が遅れてしまい申し訳ないです。 サイト側で値を適切に処理していれば問題ないということでしょうか
maisumakun

2022/06/06 07:07

それしか手段がない、ということです。閲覧者自身によるCookieの改変を防ぐ方法はありません。
guest

0

もう少し前提条件を質問本文に記載しただきたいところですが、例えば検索機能を持つ画面で検索文字列をCookieに保存するようなサイトがあれば、第三者がCSRF攻撃のような要領で検索機能を攻撃して、その結果任意のCookieを第三者のブラウザにセットできる場合があります。CSRF脆弱性は更新処理のような副作用のある機能には実装すべきものですが、検索画面は副作用がないのでCSRF対策されないケースが大半なので、該当するウェブサイトはかなりあると想定されます。

一方で、「Cookieがセットされて何なの?」という話もあり、アプリケーションの作りによっては、「第三者にCookieを設定されても実害はない」というケースもあります。

さらに、ここからがややこしいところですが、「Cookieというものは脆弱性がなくても第三者に設定されてしまう」という、言葉だけ見ると「ホンマカイナ」という特性があります。詳しくは以下のブログ記事およびYouTube動画で説明しています。

以上から言えることは、

  • Cookieは元々第三者に変更される特性をもつ
  • ゆえに、Cookieは第三者に変更されても大丈夫なように使う必要がある

ということになります。

詳しい解説が必要であれば、拙著にはなりますが、以下の本の「4.8.1 クッキーの不適切な利用」に記載しています。

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版

ご質問「Cookieに保存する値を自由に設定できたとしてもセキュリティ上問題ないでしょうか?」への回答ですが、そのCookieの扱い方次第であり、セキュリティ上問題になるケースもある、となります。

投稿2022/06/05 03:42

ockeghem

総合スコア11710

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

a.com

2022/06/06 07:00

回答ありがとうございます。やはりCookieの扱い方次第なんですね。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.30%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問