パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

HTTPSを使っているのにCookieに「secure」属性を設定していない危険なサイトが話題に」記事へのコメント

  • by Anonymous Coward

    httpでアクセスできないなら問題ない?

    •  仮に、全てのブラウザが HTTP Strict Transport Security (HSTS) [ietf.org] (RFC 6797) をサポートしているのならば、Cookie に secure 属性を付ける必要は無いでしょう(Strict Transport Security を有効化した場合)。パケットの改ざんが可能な状況下においては、http 接続のページについては正規の URI で偽ページを表示させることが可能な訳なので、当該ドメインにそもそも http で接続できないようにした方が、より安全です。

       ただし、現状では、HSTS をサポート [mozilla.org]

      • by Anonymous Coward

        > 当該ドメインにそもそも http で接続できないようにした方が、より安全です。

        それは意味ない。MITMされるだけ。サーバで何をやっても無駄だと理解すべし。

        • by Printable is bad. (38668) on 2014年12月19日 14時58分 (#2730726)

          それは意味ない。MITMされるだけ。サーバで何をやっても無駄だと理解すべし。

           HSTS ならば、初回の接続で MITM されない限り (または expireTime が経過したり、クライアントのブラウザの Strict Transport Security の保存データが削除されたりしない限り)、MITM を防ぐことができます。

           「今後このドメインに対して http での接続を禁止する」 という情報をブラウザに記録する仕組みですので、当該ドメインへの接続に際して MITM されたとしても http 接続は成立しません。

          親コメント
          • by Anonymous Coward

            初回の接続で MITM されるって話だろ。

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...