1. ホーム
  2. security

[解決済み] HTTPクッキーはポート指定ですか?

2022-03-24 18:41:59

質問

私は1台のマシンで2つのHTTPサービスを動かしています。私はただ、それらがクッキーを共有するのか、それともブラウザが2つのサーバーソケットを区別するのか知りたいだけです。

解決方法は?

現在のCookieの仕様は RFC 6265 を置き換えたものです。 RFC 2109 RFC 2965 (両方のRFCは現在"Historic"としてマークされています)、クッキーの実世界での使用に関する構文を公式化しています。 それは明確に述べています。

<ブロッククオート
  1. 紹介文

...

歴史的な理由により、クッキーにはセキュリティとプライバシーに関する多くの不正確な点があります。 例えば、サーバは与えられたクッキーが "secure"接続のためのものであることを示すことができますが、Secure 属性は活発なネットワーク攻撃者が存在する場合に完全性を提供しません。 同様に、ウェブブラウザが使用する通常のquot;same-origin policy"が異なるポート経由で取得したコンテンツを分離するにもかかわらず、あるホストのクッキーはそのホストのすべてのポートにわたって共有されます。

そしてまた

8.5. 弱い秘匿性

Cookieは、ポートによる分離を提供しない . あるポートで動作しているサービスがクッキーを読み取ることができる場合、そのクッキーは同じサーバの別のポートで動作しているサービスからも読み取ることができます。 もしクッキーがあるポートのサービスによって書き込み可能なら、そのクッキーは同じサーバの別のポートで動作しているサービスによっても書き込み可能です。 この理由から、サーバは同じホストの異なるポートで相互に信頼できないサービスを実行し、セキュリティ上重要な情報を保存するためにクッキーを使用すべきではありません(SHOULD NOT)。