Cookie のセキュリティーの確認
いくつかの cookie は、クライアント・ブラウザーで適切に保護されない場合があります。cookies を保護しないと、アプリケーションは中間者攻撃およびセッション・ハイジャック攻撃に対してぜい弱なままになります。この問題を修正するには、以下の予防手段を取ります。
- 常に SSL の使用を強制して、ワイヤー上で代行受信されている cookie のリスクを減らします。
- Web アプリケーション・サーバーで、secure フラグおよび httponly フラグをすべての cookie に設定します。
- secure フラグは、ブラウザーが HTTPS 接続のみを使用して cookie を送信するよう指示します。このフラグを設定する場合、相互に通信するすべてのアプリケーションで SSL を有効にする必要があります。
- httponly フラグは、cookie がクライアント・サイドのスクリプトを介してアクセスされないようにします。