SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog
こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れつつ、最終的にHSTS(HTTP Strict Transport Security)のような注意点を含めて振り返るのに役立てていただければと思います。 前提条件 Cookieについて Cookieの属性について SameSite属性について SameSite属性に関する落とし穴 SameSite属性を指定しなかった場合の挙動 SameSite: Strictでも攻撃が成功するケース 例1: スキームだけ違うケース 例2: サブドメイ
CSRF 対策はいまだに Token が必須なのか?
CSRF 対策は One Time Token を form なりに付与して、サーバ側でチェックすれば良い。 それをデフォルトでサポートしてるフレームワークなどもあるし、なくてもライブラリでいくらでも対応できる。 どうせ完全にステートレスなサービスはなかなかないので、サーバ側に redis や memcache を用意するのも別に大変じゃない。 なので、 CSRF 対策として Token を付与するのは、最も安全で推奨できる方式ではある。 っていうのを踏まえた上で、もう SameSite=Lax デフォルトだけど、今でも Token 必須なの?みたいなのがたびたび話に出るので、いい加減まとめる。 前提 この話は、スコープがどこなのかによって話が多少変わるので、そこを絞る。 今回は Passive ではなく Active に対策していく場合を考えるので、前提をこうする。 SameSite=l
3PCA 20 日目: 3rd Party Cookie Deprecation | blog.jxck.io
Intro このエントリは、 3rd Party Cookie Advent Calendar の 20 日目である。 3rd Party Cookie のカレンダー | Advent Calendar 2023 - Qiita https://qiita.com/advent-calendar/2023/3rd-party-cookie ここまで ITP について見てきたが、これはあくまで Safari が独断で行っていたことだ。 それに対して、他が追従するかどうかはブラウザ次第だっただろう。 では、他のブラウザはどのような反応をしたか。この反応には、その時の情勢も鑑みる必要がある。 プライバシー事件の多発 2018 年、ITP で広告業界が騒然となっているのと同時期に、「ケンブリッジ・アナリティカ事件」が発生する。 これは、 2018 年にケンブリッジ・アナリティカという選挙コンサルの
3PCA 21 日目: SameSite Cookie | blog.jxck.io
Intro このエントリは、 3rd Party Cookie Advent Calendar の 21 日目である。 3rd Party Cookie のカレンダー | Advent Calendar 2023 - Qiita https://qiita.com/advent-calendar/2023/3rd-party-cookie Google が 3rd Party Cookie を Deprecate していく方針を発表してから、最初に始めたのが SameSite Lax by Default だった。 これが何のために行われたのかを解説する。 eTLD+1 とは SameSite とは「eTLD+1 が同じ」という説明になる。これを理解するには eTLD を理解する必要がある。 例として example.com ドメインを持ち、そこに以下のような Cookie を付与するとこ
【最新版】Cookie同意ボタンは設置必須!?改正個人情報保護法によるWebサイトでの対策と基礎知識
お久しぶりのブログ投稿になります。今回は、よく制作時にもご質問いただく「Cookie(クッキー)」に関しての基礎知識や自社webサイトでの対策について記事にします。 「Cookieってキャッシュのやつだよね〜」 「最近何か法律で変わったよね??」 「自社でやらなきゃいけないことって何?」 そんな方のためにも、自分たちの理解向上のためにも書いていきます。 ここでは簡単な基礎知識と、4月に改訂された改正個人情報保護法について、最後にCookieに関するよくある質問をQ&A形式で掲載してます。最後までお付き合いください! Cookieって何? まずは、話を進めていく前に簡単にCookieについておさらいしておきましょう。要点だけ簡単にまとめておりますので、さくっと読み進められると思います。 Cookieの基礎知識 Cookieとは、WEBサイトを閲覧したときに、訪問者が訪れたWebサイトや入力し
改正個人情報保護法の下でのCookieの取扱い 〜正確に対応の要否を判定し、対応方針を決定する道筋を示す - アンダーワークス Underworks
改正個人情報保護法の下でのCookieの取扱い 〜正確に対応の要否を判定し、対応方針を決定する道筋を示す 2022年4月1日の改正個人情報保護法施行は、企業のデジタルマーケティング活動において広く使用されてきた「Cookie」の取扱いにも影響するものです。改正個人情報保護法においてCookie規制が導入されたと言われることもあり、何をどこまで対応すべきなのかに悩まれている担当者の方も多いでしょう。 2021年10月7日に実施された本オンラインセミナーでは、「企業とCookieとの新たな付き合い方」をテーマに、西村あさひ法律事務所のパートナーである石川智也弁護士と、アンダーワークス代表取締役の田島学が、それぞれ法的観点とデジタルマーケティングの観点からCookieの取扱い方について解説しました。 本イベントレポートは、両者の解説の一部を前編・後編に分けてお届けします。 前編は、石川弁護士によ
Token Storage
Key Concepts How you decide to store your token is crucial to defending your application against malicious attacks. Review scenarios for each application type. Decide which method best supports your technology. Securing SPAs that make API calls come with their own set of concerns. You'll need to ensure that tokens and other sensitive data are not vulnerable to cross-site scripting (XSS) and can't
GDPR対策のためにCookie利用の同意を得る方法
GDPRの対策としてWebアナリストがすべきことの記事の中で、個人データの取得には同意が必要、と書きました。その具体的な方法と注意点について紹介します。 以下は技術情報です。対応の必要性については法務担当や専門家に相談してください。 同意を得るだけでは足りないプライバシー保護のために個人データの取得に関して本人(データ主体)から明示的な同意を得るためには、以下の対応が必要です。 初めてサイトを訪問した時に通知を表示するデータ取得の概要を説明する詳細はプライバシーポリシーやCookieポリシーへ誘導する個人データ取得の拒否(オプトアウト)を可能にする対象Cookieを消去するGoogleやAdobe Analyticsへのデータ送信やCookie発行を止める必要に応じて個人データ取得の明示的なオプトインを可能にするオプトインがあるまではGoogleやAdobe Analyticsへのデータ送
"JWT=ステートレス"から一歩踏み出すための考え方
おはようございます、ritouです。 この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独自エンコード方式(一般的にフレームワークのCookieストアと呼ばれているもの)でも起こり得る 「セッションID vs JWTで内包」 以外にも 「セッションIDをJWTに内包」もあり得る。既存の機能を残しつつ「JWTで武装」する選択肢も考えてみてはどうか。 ステートレスなセッション管理でログアウトの際に文字列自体を無効化できない問題 これは前から言われていますし、駆け出し何とか勢のQiita記事に書かれるぐらいには一般的です。 2
ITPの変遷・最新の仕様と挙動の違い/対策の必要性と方法 – marketechlabo
ITPの仕様 次々と新しいバージョンがリリースされるITP。微妙にアップデートされ、仕様がわかりにくくなっているので現時点で最新のものを解説する。 ITPの目的と概要 われわれウェブサイト運用者は cookieやローカルストレージなどを使ってブラウザにドメインのデータを保持し、 それらのデータを必要に応じてツール間で連携する ことによって行動計測やコンテンツの出し分けなどのマーケティング活動を行っている。ITPはウェブサイト訪問者のプライバシー保持のためにそれを制限する仕組みである。具体的に何をやっているのかざっくりまとめると、 この3つのケースにおいて cookieなどを使ったデータ保持が短期間しかできなくなる(期間の長さはケースごとそれぞれ異なる) リファラが使い物にならなくなる 可能性があるということである。その結果 コンバージョントラッキングができない リマーケティング広告が配信で
Cookie の性質を利用した攻撃と Same Site Cookie の効果 | blog.jxck.io
Intro Cookie はブラウザによって保存され、紐づいたドメインへのリクエストに自動で付与される。 この挙動によって Web におけるセッション管理が実現されている一方、これを悪用した攻撃方法として、 CSRF や Timing Attack などが数多く知られており、個別に対策がなされてきた。 現在、提案実装されている SameSite Cookie は、そもそもの Cookie の挙動を変更し、こうした問題を根本的に解決すると期待されている。 Cookie の挙動とそれを用いた攻撃、そして Same Site Cookie について解説する。 Cookie の挙動 Cookie は、 Set-Cookie によって提供したドメインと紐づけてブラウザに保存され、同じドメインへのリクエストに自動的に付与される。 最も使われる場面は、ユーザの識別子となるランダムな値を SessionI
Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife
おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか? Cookie vs JWT 認証に JWT を利用するのってどうなの? JWT をセッション管理に使うべきではない! リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の原点は最近 IDaaS(Identity as a Service) として注目を集めている Auth0 が Cookie vs Token とか言う比較記事を書いたことだと思っていますが、今探したところ記事は削除されたのか最近の記事にリダイレクトされてるようなのでもうよくわからん。 なのでそれはおいといて、この話題を扱う記事は クライアントでのセッション管理 : HTTP Cookie vs WebStorage(LocalStorage / Sess
解答:CSRFの防止策に関するチートシートにツッコミを入れる
この記事は、先日の記事「問題:CSRFの防止策に関するチートシートにツッコミを入れる」に対する解答編です。まだ問題を見ていない方は、先に問題を読んで(できれば自分で解答を考えて)からこの記事をお読みいただくとよいと思います。 それでは、解答を説明します。 設問: チートシート旧版の翻訳であるJPCERT/CC訳(以下の引用部分)を元に以下の設問に答えよ。 引用(再掲) Cookie の二重送信 Cookie の二重送信は、Cookie およびリクエストパラメーターの双方でランダムな値を送信し、サーバー側で Cookie の値とリクエストの値が等しいかどうか検証する手法です。 ユーザーがサイトにログイン するとき、サイトは暗号強度の高い疑似ランダム値を生成し、その値を Cookie としてユーザーのマシンに、セッション ID とは別に送ります 。どんな形であれ、サイトはこの値を保存しておく必
クッキーのSecureフラグはリバースプロキシに立てさせたい - Qiita
HTTPクッキーで秘密情報、例えばログインセッションIDなどを扱う場合はSecureフラグを立てるのが定石です(例え秘密情報を扱わないとしても立てるのが定石と考えるべきかもしれません。セキュリティテストでは機械的に問題点として検出されてしまいますから)。 Secureフラグとは「HTTPS通信時にしか送り返さないでください」というブラウザへの指示。 などと、Set-Cookieヘッダにsecureと追記することで実現します。こうしておけば、平文通信に秘密情報が流れてパケットキャプチャで盗聴されてしまうという心配がなくなります。 開発時にはsecureフラグが邪魔だったり というわけでまともなユーザアカウント管理のあるWebシステムならsecureフラグは当然付けなければいけないのですが、問題は開発中です。 開発マシンのローカルにサーバを立てて動かしているときなど、HTTPSアクセスってこと
ブラウザごとの cookie path の挙動の違い
スラッシュを考慮したマッチを行っているものを RFC 6265 準拠と呼んでいる。詳細は後述 単純に前方一致でマッチしているものをネットスケープの仕様に準拠と呼んでいる 仕様 そもそも Cookie は仕様からして揺れている。現在ある文章は以下の 4 つ。 Client Side State - HTTP Cookies Netscape が定めた文章。現在ではもとのリソースはなくなっており、第三者によってアーカイブされているものしかない。古いがものによっては依然デファクト。 RFC 2109 - HTTP State Management Mechanism Obsolated かつ Historical。1997 の文章。 RFC 2965 - HTTP State Management Mechanism Obsolated かつ Historical。2000 年の文章。Cooki
HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
LPI-Japan、「Linuxセキュリティ標準教科書」を無償公開
LPI-Japan、「Linuxセキュリティ標準教科書」を無償公開:iptablesやACL、OpenSSHなどを解説 LPI-Japanは2013年10月1日、Linuxサーバのセキュリティを強化し、安全に運用していくために必要な知識をまとめた「Linuxセキュリティ標準教科書」を公開した。 エルピーアイジャパン(LPI-Japan)は2013年10月1日、Linuxサーバのセキュリティを強化し、安全に運用していくために必要な知識をまとめた「Linuxセキュリティ標準教科書」を公開した。PDF版とEPUB版が無償でダウンロードできる。 LPI-Japanは、オープンソースソフトウェア(OSS)/Linuxの技術者育成と認定試験の普及に取り組んでいる特定非営利活動法人だ。過去には、Linuxについて基礎から学ぶことのできる学習教材「Linux標準教科書」や「Linuxサーバー構築標準教科書
リダイレクトの警告
表示中のページから http://ya.maya.st/d/201110b.html にリダイレクトしようとしています。 このページにリダイレクトしないようにする場合は、前のページに戻ってください。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
3rd Party Cookieのカレンダー | Advent Calendar 2023 - Qiita
CookieのDomain属性は *指定しない* が一番安全