CookieのPartitioned属性 (CHIPS) の標準化はじまる

雑 internet-draft

サードパーティCookieをトラッキングに使用できないようにする「Cookies Having Independent Partitioned State (CHIPS)」で使う、Partitioned属性の標準化

2022-06-26

デフォルトでCookieをオリジンに紐づける、ChromeのOrigin-Bound Cookies

デフォルトでCookieをオリジンに紐づける、ChromeのOrigin-Bound Cookiesのしくみについて

2021-07-05

トラッキングに利用できない3rdパーティクッキー「CHIPS」の仕組み (partitioned属性)

w3c HTTP

トラッキングに利用できない3rdパーティクッキー「CHIPS」の仕組みについて

2020-12-14

Cookieの新しい属性、SameParty属性について

HTTP Web 雑

ChromeでCookieのSameParty属性の開発が進められている。そこで、CookieのSameParty属性について簡単にメモしていく

2020-06-21

CookieのSameSite属性にFirstPartyLaxを追加する提案仕様

HTTP w3c internet-draft 雑

CookieのSameSite属性にFirstPartyLax、FirstPartyStrictを追加する提案仕様について、First-Party Setsと併せて解説する。

2020-04-19

Cookieのセキュリティを改善する Scheming Cookiesについて

HTTP internet-draft

Cookieのセキュリティを改善するSchemeful Same-Siteと、Scheming Cookiesについて解説する。これらは、GoogleのMike Westが提案するIncrementally Better Cookiesで登場する。

2019-12-19

CookieのPriority属性の仕様

HTTP internet-draft

あまり知られていないがCookieにはPriority属性があります。最近ChromeがデベロッパーツールでPriority属性を表示するようになりました。そこで超簡単にだが仕様を紹介する。

2019-05-09

Cookie の SameSite=Lax をデフォルトにする提案仕様

HTTP internet-draft

20191226 追記 SameSite属性のついたCookie自体を拒否する古いクライアントにご注意ください https://sites.google.com/a/chromium.org/dev/updates/same-site/incompatible-clients20190823 追記 suidenOTI さまよりご指摘いただきました不具合があったため…

2018-08-15

Cookieにかわる Sec-HTTP-State ヘッダの提案

HTTP internet-draft

20190424 追記 IETFに提案仕様が提出されました https://tools.ietf.org/html/draft-west-http-state-tokens-00 Cookieの様々な問題を解決するために、Webセキュリティー界隈で活躍されるMike West氏から「Tightening HTTP State Management」というCookieに…

2018-04-09

Chromeにおいて非セキュアなHTTPで送信されたCookieの有効期限を短くする議論

HTTP 雑

暗号化してないHTTPで送信されたCookieの有効期限を短くしたいという議論は、Mozillaでも以前から行われてきました。「Intent to ship: Treat cookies set over non-secure HTTP as session cookies」。もちろん、IETFでもMozillaのMartin Thomson氏らによっ…

2017-06-06

CookieのNoHttp属性の提案仕様

HTTP

以前、「Cookieの仕様改定版、RFC6265bisの議論」でも書いたとおり、IETFのHTTPBis WGではCookieのセキュリティ向上に向けて改訂作業が行われています。Cookieの改訂版のAuthorでもあるGoogleのMike West氏が、それとは別に新しくCookieに「NoHttp」属性を追…

2017-04-26

Cookieの仕様改定版、RFC6265bisの議論

HTTP internet-draft

追記 10190510 関連して、このような動きもあります。 Cookie の SameSite=Lax をデフォルトにする提案仕様 - ASnoKaze blog Cookieの仕様と拡張仕様 HTTPのCookieの仕様は RFC 6265 - HTTP State Management Mechanism で定義されております。2015年頃より…

2016-06-02

安全でない通信路でセットされたCookieの有効期限を短くする仕様

internet-draft

安全でない通信路で設定されたCookieについて有効期限を短くする「Expiring Aggressively Those HTTP Cookies」という仕様がMozillaのMartin Thomsonから提案されています。 Expiring Aggressively Those HTTP Cookies https://tools.ietf.org/html/draft-th…

2015-12-06

Cookieを制御する、CSPのcookie-scopeディレクティブ

w3c

CSPでCookieのセットを制限する"cookie-scope"ディレクティブが「 Content Security Policy: Cookie Controls」という仕様で提案されています。以下のCookieに関する仕様を提案しているMike West氏による提案である Cookie Prefixes Origin Cookies Depreca…

2015-10-12

Cookieの属性を制限する Cookie Prefixesという仕様

internet-draft

"$Origin-"プレフィックスは削除され、"$Host-"プレフィックスが追加されました。 (2015/10/13追記)(2015/10/17 記事更新) 背景の、domain属性の指定に誤りがあったため修正しました。「domain=my-example.com」-> 「domain=example.com」(2015/10/14追記) d…

2015-10-08

非セキュアなオリジンから'secure'クッキーの変更を廃止する提案

internet-draft

先日、HTTPSでsecure属性を付加した場合でも改変できると話が話題になりました。クッキーの脆弱性が判明： HTTPS のセキュリティを突破する、攻撃が成り立ってしまう！ HTTPSを使ってもCookieの改変は防げないことを実験で試してみた(2013/9/30) Cookies La…

2015-04-29

Origin Cookiesとは

internet-draft

Origin Cookies GoogleのMike West氏による、Cookieに対する拡張が提案されている。 draft-west-origin-cookies-01では、同一生成元ポリシーと同様なセキュリティポリシーでCookieを扱えるように、Cookie(RFC6265)に"Origin"属性を追加し、HTTPヘッダに"Orig…