知らないと危険！Cookieのセキュリティリスクと対策 / 開発者向けブログ・イベント | GMO Developers

2024/12/18 13 users Advent Calendar GMO NIKKO 脆弱性

この記事は「GMOインターネットグループ Advent Calendar 2024」19日目の記事です。 こんにちは、GMO NIKKOの横内です。普段はRuby on Railsを使った開発やプロダクトの脆弱性診断などセキュリティ関連の業務をしています。今回はWebブラウザで広く利用されているCookieの脆弱性について書いていきたいと思います。 はじ... 続きを読む

世界を巡るゴリアットの挑戦: 『ご意見番』ジョン・スチュワート氏の闘志

2024/11/22 8 users 闘志 馬主 エクスペリエンス アフターケア 実業家

この Web サイトを使用すると、より良いサイト エクスペリエンスを確保するために Cookie ボックスの使用に同意したことになります。 → Got it 世界を巡るゴリアットの挑戦: 『ご意見番』ジョン・スチュワート氏の闘志 アメリカの実業家で馬主のジョン・スチュワート氏は、国際競走、ファンとの交流、そしてアフターケア... 続きを読む

プライバシーへの配慮が企業価値になる。データ活用に関する生活者の意識調査 | ウェブ電通報

2024/08/29 6 users 配慮 ウェブ電通報 意識調査 プライバシー 企業価値

ユーザープライバシー保護の潮流の中で、法律の変化やブラウザ事業者によるCookieをはじめとした識別子の制限により、企業はお客さまのパーソナルデータを活用することが求められています。しかし、生活者から見ると、自身のデータが企業に活用されていることに抵抗を感じる方も多いでしょう。 「どうすれば生活者に安心... 続きを読む

危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

2024/07/08 19 users Rails GMOサイバーセキュリティ 山崎 キャッシュ 最新

高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本... 続きを読む

Is Secure Cookie secure? - CookieのSecure属性・__Host-プレフィックス・HSTSを正しく理解しよう - Flatt Security Blog

2024/05/13 12 users SameSite doc secure okazu_dm 前回

こんにちは、 @okazu_dm です。 前回の記事 に引き続きCookie関連のセキュリティに関する記事となります。 今回は、Cookieの仕様を定めたRFC6265(https://datatracker.ietf.org/doc/html/rfc6265)自体に含まれるSecure属性の問題点と、その対策について紹介していきます。 CookieのSecure属性自体は前回紹介したSameSite... 続きを読む

Cookieの改訂版仕様 rfc6265bis の変更点 - ASnoKaze blog

2024/05/07 9 users オリジン ASnoKaze blog SameSite属性

Cookieの改訂版仕様 rfc6265bis について、その変更点をざっと眺めていく はじめに SameSite属性 Cookie名プレフィックス (Cookie Name Prefixes) __Secureプレフィックス __Hostプレフィックス 非セキュアなオリジンからの Secure属性の上書きを禁止 nameless cookieの許容 Cookie名、Cookie値の上限長の指定 Expires属... 続きを読む

ペイウォールを回避するブラウザ拡張機能「Bypass Paywalls Clean」がGitLabから削除される

2024/04/16 7 users デジタルミレ GitLab ウェブサイト 無課金ユーザー 削除

インターネット上にはペイウォールを設置して無課金ユーザーの記事閲覧を制限するウェブサイトが複数存在しますが、Cookieの削除などを行うことでペイウォールを回避できる場合があります。ブラウザ拡張機能の「Bypass Paywalls Clean」はこの「サイトのCookie削除」を自動化するものでしたが、2024年4月にデジタルミレ... 続きを読む

PHPで学ぶ Session の基本と応用 / web-app-session-101-2024

2024/02/12 114 users Session PHP PHPカンファレンス関西 応用 基本

PHPカンファレンス関西2024 の登壇資料です。 Cookie を使った Session 管理について解説しています。 続きを読む

SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog

2024/01/31 110 users okazu_dm CSRF HSTS 文脈 挙動

こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れ... 続きを読む

3PCA 3 日目: 自動で送られる Cookie | blog.jxck.io

2023/12/02 8 users jxck.io 3PCA 自動 INTRO qiita.com

Intro このエントリは、 3rd Party Cookie Advent Calendar の 3 日目である。 3rd Party Cookie のカレンダー | Advent Calendar 2023 - Qiita https://qiita.com/advent-calendar/2023/3rd-party-cookie 前回は 「Cookie は 区別 と 識別 の用途があり、 区別 だけのユースケースもある」という解説をした。 今回も、... 続きを読む

Cookie の HttpOnly 属性について勘違いしていたこと - Qiita

2023/11/28 15 users Qiita XSS HttpOnly 属性 手法

はじめに (本記事は初歩的な内容ですが、少なくとも僕は引っかかったので記事化したものです) Cookie に HttpOnly という属性があります。 この HttpOnly を設定することで JavaScript からの直接の参照・操作を禁止することによって、XSS などの手法によって悪意のある第三者から Cookie の内容を見られるのを防止する... 続きを読む

サードパーティ Cookie の廃止に向けた準備 - Chrome for Developers

2023/10/29 400 users 廃止 サードパーティ Cookie 四半期 Chrome 準備

サードパーティ Cookie の廃止時期が近付いています。あなたのサイトでその種の Cookie を使用している場合は、廃止対策を講じる時期が来ています。Chrome は、テストを容易に行えるように、2024 年第 1 四半期からユーザーの 1% に対してサードパーティ Cookie を無効にし、2024 年第 3 四半期からはユーザーの 100% に... 続きを読む

Cookie2 とは何か | blog.jxck.io

2023/08/19 154 users jxck.io Set-Cookie 現行 キャッチ 仕様

Intro タイトルを見て「Cookie の新しい仕様か、キャッチアップしよう」と思って開いたのなら、以降を読む必要はない。 Cookie History 2000 年に発行された Cookie の仕様である RFC 2965 では、仕様中に Set-Cookie2/Cookie2 (以下 Cookie2) という 2 つのヘッダが定義されている。しかし 2011 年に改定された現行の R... 続きを読む

CookieとWeb Storageの仕様を比較する

2023/08/06 22 users Web Storage 仕様 セッシ ユーザーエージェント

Cookie Set-CookieはHTTPのレスポンスヘッダーで、サーバーからユーザーエージェントへクッキーを送信するために使われる。 また、ユーザーエージェントはサーバーに送り返すことができる。 そのため、HTTP サーバーが HTTP ユーザーエージェントに状態を保存するために使用することができる。 Cookieの利用目的 セッシ... 続きを読む

Cookie Store API による document.cookie の改善 | blog.jxck.io

2023/06/18 108 users API jxck.io 負債 HTML 改善

Intro JS から Cookie を操作する document.cookie の改善を目的とした Cookie Store API についてまとめる。 document.cookie document.cookie は、ブラウザの API における代表的な技術的負債の一つと言える。 HTML Standard https://html.spec.whatwg.org/multipage/dom.html#dom-document-cookie 基本的な使い方は以... 続きを読む

うっとうしい「Cookieを許可してください」のバナーを自動で拒否してくれる機能がFirefoxに間もなく登場する可能性

2023/04/19 22 users Firefox バナー Ghacks GDPR 自動

近年はEUにおけるEU一般データ保護規則(GDPR)の導入などを背景に、アクセスすると「Cookieの使用に同意することを求めるバナー」が表示されるウェブサイトが増えましたが、いちいちバナーをクリックして消さないといけないのは面倒なものです。テクノロジー系メディアのgHacksが、ウェブブラウザ・Firefoxの開発バージョ... 続きを読む

2023年4月においてクリックジャッキング未対策のサイトはどの条件で被害を受けるか

2023/04/03 192 users 被害 localStorage 条件 クリックジャッキング

サマリ CookieやlocalStorage等でセッション管理しているウェブサイトがクリックジャッキング対策していない場合、どの条件で被害を受けるかを説明する。SameSite属性のないCookieでセッション管理しているウェブサイトは、主要ブラウザのデフォルト設定ではクリックジャッキングの影響を受けない。一方、loaclStorageに... 続きを読む

Cookie vs Local Storage マルウェア耐性等に差はあるか？Google Chromeによる保存時の暗号化を検証する - Flatt Security Blog

2023/03/13 13 users Flatt Security Blog 暗号化 XSS 耐性

はじめに こんにちは。セキュリティエンジニアの@okazu_dmです。 皆さんはブラウザにおいてLocal StorageやCookieに格納されている値が暗号化されているかどうかを考えたことはあるでしょうか。これらWebサービスの認証・認可において使われるデータが、XSSのようなアプリケーションの脆弱性への耐性に差があるかどうか... 続きを読む

Torishima on Twitter: "⚠️⚠️【注意喚起】⚠️⚠️ 今 Chrome に Get cookies.txt という拡張機能を入れている方、”””今すぐ”””アンインストールしてください！！ ページ遷移すると Cookie か

2023/02/28 8 users Chrome Torishima on Twitter

⚠️⚠️【注意喚起】⚠️⚠️ 今 Chrome に Get cookies.txt という拡張機能を入れている方、”””今すぐ”””アンインストールしてください！！ ページ遷移すると Cookie からアクセスした URL から何… https://t.co/JOK2XEWNQF 続きを読む

mutaguchi on Twitter: "薄々事情が分かってきた。 Chrome拡張機能は、Manifest V3に移行する必要があるのだが、そうすると拡張機能は他ドメインへの通信を傍受できなくなり、cookieを取得できなくな

2023/02/28 24 users Manifest V Chrome拡張機能 https 通信

薄々事情が分かってきた。 Chrome拡張機能は、Manifest V3に移行する必要があるのだが、そうすると拡張機能は他ドメインへの通信を傍受できなくなり、cookieを取得できなくなるっぽい。そこでGet cookies.tx… https://t.co/t6nJYhkGQ0 続きを読む

サードパーティ Cookie をブロックする制限を緩和する CHIPS という仕様について

2022/12/30 75 users Chips Privacy security ユーザ 近年

作成日 2022-12-30 更新日 2022-12-30 author @bokken_ tag Web, Privacy, Security, Cookie はじめに 3rd Party Cookie をブロックする制限を緩和するための仕様である CHIPS が策定されている。¶ 近年、ユーザの Privacy の向上を目的として 3rd Party Cookie をブロックする流れがある。cross site でユーザトラッキ... 続きを読む

無料でYouTubeを広告なし＆ログイン不要でサクサク視聴できるプレイヤー「FreeTube」

2022/12/30 160 users YouTube FreeT 追跡 無償 プレイヤー

Googleアカウントにログイン不要でYouTubeを広告なしでサクサクと視聴できる専用プレーヤーが「FreeTube」です。Cookieによる追跡がなくプライベートな環境でYouTubeを再生可能で、Googleアカウントにログインしなくてもチャンネル登録ができる専用ブラウザで、Windows・Mac・Linux向けが無償で配信されています。 FreeT... 続きを読む

CookieのSameSite属性と4つの勘違い(2022-10版) - SSTエンジニアブログ

2022/10/28 19 users SameSite属性 Twitter GitHub SST

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 Fetch API*1 や XMLHttpRequest*2 を使ってクロスサイトのCookieを送る・送らないの実験をする機会がありました。 そこで自分の勘違いが複数発見され、改めて「今のクロスサイト Cookie って難しいな」と感じ... 続きを読む

CookieのPartitioned属性 (CHIPS) の標準化はじまる - ASnoKaze blog

2022/10/20 29 users Chips トラッキング サードパーティCookie とおり

サードパーティCookieをトラッキングに使用できないようにする「Cookies Having Independent Partitioned State (CHIPS)」という仕組みが議論されています。 現在は、その仕組はW3CのPrivacy CGで議論されています。細かい仕組みは以前書いたとおりです。 ( トラッキングに利用できない3rdパーティクッキー「CHIPS」の仕... 続きを読む

Braveがうっとうしい「Cookieを許可してください」のブロックを開始

2022/09/30 7 users brave GDPR 関心 規制 ブロック

インターネットを利用中に、「Cookieを許可してください」というポップアップが表示されたり、許可するCookieの種類を選ばされたりしたことがある人は多いはず。こうした表示はGDPRといった規制を順守する上で必要なものですが、Cookieの使用を許可するつもりのない人や関心がない人にとってはわずらわしいものです。広... 続きを読む