HTTP クッキーはポート固有ですか? 質問する

Question

いいえ、Cookie ではポートによる分離は提供されません。

現在のクッキー仕様はRFC 6265、これはRFC 2109そしてRFC 2965(両方の RFC は現在「歴史的」としてマークされています)、Cookie の実際の使用法の構文を形式化します。明確に次のように述べられています。

導入

...

歴史的な理由により、クッキーにはセキュリティとプライバシーに関する多くの欠点があります。たとえば、サーバーは特定のクッキーが「安全な」接続用であることを示すことができますが、アクティブなネットワーク攻撃者が存在する場合、Secure 属性は整合性を提供しません。同様に、Web ブラウザーで使用される通常の「同一生成元ポリシー」により、異なるポート経由で取得されたコンテンツが分離されているにもかかわらず、特定のホストのクッキーはそのホストのすべてのポートで共有されます。

さらに:

8.5. 弱い機密性

クッキーはポートによる分離を提供しません。クッキーが 1 つのポートで実行されているサービスによって読み取り可能な場合、同じサーバーの別のポートで実行されているサービスによっても読み取り可能です。クッキーが 1 つのポートで実行されているサービスによって書き込み可能な場合、同じサーバーの別のポートで実行されているサービスによっても書き込み可能です。このため、サーバーは、同じホストの異なるポートで相互に信頼できないサービスを実行し、セキュリティに敏感な情報を保存するためにクッキーを使用するべきではありません。

Answer 1

いいえ、Cookie ではポートによる分離は提供されません。

現在のクッキー仕様はRFC 6265、これはRFC 2109そしてRFC 2965(両方の RFC は現在「歴史的」としてマークされています)、Cookie の実際の使用法の構文を形式化します。明確に次のように述べられています。

導入

...

歴史的な理由により、クッキーにはセキュリティとプライバシーに関する多くの欠点があります。たとえば、サーバーは特定のクッキーが「安全な」接続用であることを示すことができますが、アクティブなネットワーク攻撃者が存在する場合、Secure 属性は整合性を提供しません。同様に、Web ブラウザーで使用される通常の「同一生成元ポリシー」により、異なるポート経由で取得されたコンテンツが分離されているにもかかわらず、特定のホストのクッキーはそのホストのすべてのポートで共有されます。

さらに:

8.5. 弱い機密性

クッキーはポートによる分離を提供しません。クッキーが 1 つのポートで実行されているサービスによって読み取り可能な場合、同じサーバーの別のポートで実行されているサービスによっても読み取り可能です。クッキーが 1 つのポートで実行されているサービスによって書き込み可能な場合、同じサーバーの別のポートで実行されているサービスによっても書き込み可能です。このため、サーバーは、同じホストの異なるポートで相互に信頼できないサービスを実行し、セキュリティに敏感な情報を保存するためにクッキーを使用するべきではありません。

HTTP クッキーはポート固有ですか? 質問する

ベストアンサー1

おすすめ記事