Cookieの仕様改定版、RFC6265bisの議論

追記 10190510
関連して、このような動きもあります。
Cookie の SameSite=Lax をデフォルトにする提案仕様 - ASnoKaze blog

Cookieの仕様と拡張仕様

HTTPのCookieの仕様は RFC 6265 - HTTP State Management Mechanism で定義されております。

2015年頃より、IETFのHTTPbisワーキンググループではCookieのセキュリティを向上させる目的で拡張仕様が3つほど議論されていました。

動作確認用のページもあるようです http://rfc6265.biz/tests/

IETF98でのフィードバック

それぞれの拡張仕様はChromeFirefoxで実装が進められており、先月シカゴで行われたIETF98では各拡張仕様の提案者でもあるGoogleのMike West氏よりそれぞれの使用状況についてのフィードバックがありました。短いですが議事録より確認できます。

  • Cookie Prefixes
    • Googleでは、ChromeにおいてSet-Cookieヘッダで__Host-が0.004%, __Secure-が0.00001%観測されているとのこと
  • Same-site cookies
    • 利用率は0.01%
  • Strict secure
    • 沢山のバグレポートがあった

rfc6265bis

上記3つの拡張仕様はそれぞれを標準化するのではなく、RFC 6265の改訂版である6265bisに組み込む形で標準化されることがMLで話されておりましたが(URL)、4/25に rfc6265bisのdraft01 が提出されました。

RFC 6265からの主な変更点は下記のとおりです

  • エラッタの修正(URL)
  • Cookie2とSet-Cookie2をIANA Considerationsから削除
  • Cookie Prefixes の仕様の取り込み
  • Deprecate modification of 'secure' cookies from non-secure origins の仕様取り込み

Same-site cookiesについては、AuthorがML上で言及しているとおり(URL)、もう少し作業があるようだが、7月に行われるIETF98までに議論すべきものが出て来る形になりそうだ。