先日、HTTPSでsecure属性を付加した場合でも改変できると話が話題になりました。
- クッキーの脆弱性が判明: HTTPS のセキュリティを突破する、攻撃が成り立ってしまう!
- HTTPSを使ってもCookieの改変は防げないことを実験で試してみた(2013/9/30)
- Cookies Lack Integrity: Real-World Implications(PDF)
そういったリスクを軽減するために、HTTPのオリジンからはsecure属性の付いたクッキーをセット, 上書きを廃止する仕様が提出されている。Googleの人がAuthorな点も興味深い。
提案
提案されている仕様は以下である。
「Deprecate modification of 'secure' cookies from non-secure origins」
とても短い仕様であり、既存の仕組みを先に述べたように変更するだけである。
ユーザエージェントがCookieを保存する際(RFC6265のSection 5.3において説明されている)