トップ 差分 一覧 ソース 検索 ヘルプ PDF RSS ログイン

SSL

[カテゴリ:etc]

SSL+Webアプリ のセキュリティ(20070911)

http://www.ipa.go.jp/security/ciadr/20030808cookie-secure.html

http+cookie:

 セッションは使えるが、通信内容は暗号化されていないので
 盗聴の可能性はある。従ってセッションハイジャックの可能性は残る。

https+cookie:

 セッションは使える。かつ通信内容は暗号化されている。
 しかし、cookieにsecure属性が無いため、攻撃者の
 罠に誘導されると、クライアントはcookieの内容を
 httpプロトコルで送ってしまう可能性は残る。

https+cookie secure属性あり:

 セッションは使える。かつ通信内容は暗号化されている。
 攻撃者の罠に誘導されても、cookie secure 属性で登録
 された cookieの内容は、httpプロトコルでは送らない。

最終更新時間:2007年09月11日 00時26分09秒