Q&A
「自由に設定する」の主語は誰ですか?
Cookieに保存する値を自由に設定できたとしてもセキュリティ上問題ないでしょうか?
例えばユーザーが入力した検索履歴なとです。
回答2件
0
問題が逆です。書き換えられても問題ない(もしくは不適当な値が来たらエラーにする)ようにサイトを作る側が設計する必要があります。
「Cookieに保存する値を自由に設定できたとしても」は仮定ではなく、現実に可能な問題です。
投稿2022/06/03 13:48
総合スコア146702
Cookieの中身は、ブラウザの開発ツールからも編集できます。
ありがとうございます。回答が遅れてしまい申し訳ないです。
サイト側で値を適切に処理していれば問題ないということでしょうか
それしか手段がない、ということです。閲覧者自身によるCookieの改変を防ぐ方法はありません。
0
もう少し前提条件を質問本文に記載しただきたいところですが、例えば検索機能を持つ画面で検索文字列をCookieに保存するようなサイトがあれば、第三者がCSRF攻撃のような要領で検索機能を攻撃して、その結果任意のCookieを第三者のブラウザにセットできる場合があります。CSRF脆弱性は更新処理のような副作用のある機能には実装すべきものですが、検索画面は副作用がないのでCSRF対策されないケースが大半なので、該当するウェブサイトはかなりあると想定されます。
一方で、「Cookieがセットされて何なの?」という話もあり、アプリケーションの作りによっては、「第三者にCookieを設定されても実害はない」というケースもあります。
さらに、ここからがややこしいところですが、「Cookieというものは脆弱性がなくても第三者に設定されてしまう」という、言葉だけ見ると「ホンマカイナ」という特性があります。詳しくは以下のブログ記事およびYouTube動画で説明しています。
以上から言えることは、
- Cookieは元々第三者に変更される特性をもつ
- ゆえに、Cookieは第三者に変更されても大丈夫なように使う必要がある
ということになります。
詳しい解説が必要であれば、拙著にはなりますが、以下の本の「4.8.1 クッキーの不適切な利用」に記載しています。
ご質問「Cookieに保存する値を自由に設定できたとしてもセキュリティ上問題ないでしょうか?」への回答ですが、そのCookieの扱い方次第であり、セキュリティ上問題になるケースもある、となります。
投稿2022/06/05 03:42
総合スコア11710
あなたの回答
tips
プレビュー
