読者です 読者をやめる 読者になる 読者になる

非セキュアなオリジンから'secure'クッキーの変更を廃止する提案

先日、HTTPSでsecure属性を付加した場合でも改変できると話が話題になりました。


そういったリスクを軽減するために、HTTPのオリジンからはsecure属性の付いたクッキーをセット, 上書きを廃止する仕様が提出されている。Googleの人がAuthorな点も興味深い。

提案

提案されている仕様は以下である。
Deprecate modification of 'secure' cookies from non-secure origins


とても短い仕様であり、既存の仕組みを先に述べたように変更するだけである。


ユーザエージェントがCookieを保存する際(RFC6265のSection 5.3において説明されている)

  • 'request-uri'の'scheme'が'https'でなく、かつ'secure-only-flag'(Secure属性が付いている場合にTrueとなる)がTrueであれば、Cookieの保存を中断する
  • Cookieを上書きする際も同様に、'request-uri'の'scheme'が'https'でなく、かつ'secure-only-flag'(Secure属性が付いている場合にTrueとなる)がTrueであれば、上書きを中断する