ウェブサイトの一部のページで Google Analytics を使用しています。サイト全体で SSL を使用しています。Google Analytics の Cookie を保護することは可能ですか__umt*。
少なくとも、セキュア フラグを有効にしたいと思います。できれば、HTTP のみのフラグも設定したいのですが、後者は不可能だと思います (Google は Cookie を使用するために JS を使用しているためだと思います)。
これは可能ですか? 可能であれば、どのように設定すればよいですか?
ベストアンサー1
GA スクリプトを変更して独自のローカル コピーを保存しない限り、セキュア フラグまたは HttpOnly フラグを設定することはできません。Google はこの点について意識的に設計上の決定を下したと想像しており、セキュアなスキームとセキュアでないスキームの両方で同じユーザーを追跡できることには利点があることは間違いありません。
しかし、これで何を達成しようとしているのか自問する必要があります。セキュア フラグがないため、中間者が Cookie を傍受して読み取ったり操作したりできる場合、潜在的な悪用の可能性は何でしょうか。HttpOnly フラグについても同様です。XSS 悪用によってこの Cookie を取得できる場合、攻撃者にとってのメリットは何でしょうか。
以前、自動セキュリティ スキャナーからこの種のフィードバックが返されたのを見たことがありますが、これは Cookie が実際に何に使用されているかというコンテキストを持たずに、単にフラグがないことによってトリガーされたものです。これが、このような質問がなぜ発生するのかという私の最初の推測です。