読者です 読者をやめる 読者になる 読者になる

安全でない通信路でセットされたCookieの有効期限を短くする仕様

安全でない通信路で設定されたCookieについて有効期限を短くする「Expiring Aggressively Those HTTP Cookies」という仕様がMozillaのMartin Thomsonから提案されています。


Expiring Aggressively Those HTTP Cookies
https://tools.ietf.org/html/draft-thomson-http-omnomnom-00


もともとはBugzillaの 「Treat cookies set over non-secure HTTP as session cookies」というスレッドで議論されていたようです。

Expire Cookies

安全でない通信路(クリアテキストなTCP上のHTTP等)でセットされたCookieは短い時間に制限されるべきと、MUSTで書かれています。例えば、ブラウザが閉じられるまでに限定するとなどです。


また、ブラウザがネットワーク環境の変化を検出した場合、安全でない通信路でセットされたCookieを削除すべき(SHOULD)となっています。


この仕様の変更でSecure属性の付いてないCookieも同様に扱われる場合もあるが、相互接続性や既存のサービスで問題を引き起こす可能性もあります。もしくは、サードパーティCookieにのみ適応されるかもしれません。このように制限を行うことでHTTPSへの移行を促す効果があると考えられています。