問題タブ [cookies]

Windows Vista x64 SP1 を使用しており、Web サーバーとして IIS7 を使用して ASP.NET アプリを開発しています。Cookie がセッションに「固着」しないという問題があるため、Google を調べたところ、重複した応答ヘッダーがセッションに追加されずに上書きされるという既知の問題があることがわかりました。ただし、この問題は、Vista の Service Pack 1 で修正されているはずでした。

私のトラブルが何であるかについてのアイデアはありますか？

統合アプリ プールを使用しており、ワーカー プロセスの最大数 == 1 です。

アンダースコアの意味は何ですか? URL のどこにあるかは重要ですか (たとえば、ホスト名にある場合は重要ですが、クエリ文字列にある場合は重要ではありません)。

CGI プログラムとして実行される PHP スクリプトがあり、HTTPAuthenticateヘッダーが食べられて吐き出されます。したがって、ある種の FORM ベースの認証を実装したいと思います。追加の制約として、データベースがないため、セッション データを保存できません。

私は、マスターのユーザー名とパスワードを持つことに非常にオープンです。これらの資格情報を知らない侵入者からアプリケーションを保護する必要があるだけです。

では、これをどのように実装しますか？

クッキー？

フォームを提示し、それが有効であれば、IP アドレスのハッシュである Cookie を送り返すことができます。これはシークレット コードです。次に、物事が正しく復号化されない限り、ページがレンダリングされないようにすることができます。しかし、それをPHPで実装する方法がわかりません。

オンライン アプリケーションのサインアップ プロセスの一環として、サイトにアクセスするために使用されたソースおよび/または検索キーワードを追跡することを考えています。これにより、Google アナリティクスよりも細かい粒度で、どの広告がどこから機能しているかを確認できます。

人々が私のサイトにアクセスしたときに、この情報を使用してある種の Cookie を設定できると思いますが、それを取得する方法がわかりません。それは可能ですか？

私は Rails を使用していますが、言語に依存しないソリューション (または、この情報の場所へのポインタだけでも) をいただければ幸いです。

具体的には、これは、クライアント セッション Cookie を使用してサーバー上のセッションを識別する場合に関するものです。

Web サイト全体に SSL/HTTPS 暗号化を使用するのが最善の答えであり、中間者攻撃が既存のクライアント セッション Cookie を盗聴できないという最善の保証がありますか?

そして、セッション Cookie に保存されているセッション値自体にある種の暗号化を使用するのがおそらく 2 番目に良いでしょうか?

悪意のあるユーザーがマシンに物理的にアクセスした場合でも、ファイルシステムを調べて有効なセッション Cookie を取得し、それを使用してセッションをハイジャックできますか?

Cookieに基づくアクセス制限のあるサイトでAJAXを使用する場合、JavaScriptはCookieにアクセスする必要があります。HttpOnly CookieはAJAXサイトで機能しますか？

編集： Microsoftは、HttpOnlyが指定されている場合にCookieへのJavaScriptアクセスを禁止することにより、XSS攻撃を防ぐ方法を作成しました。FireFoxは後でこれを採用しました。だから私の質問は：StackOverflowのようなサイトでAJAXを使用している場合、Http-Onlycookiesはオプションですか？

編集2：質問2. HttpOnlyの目的がCookieへのJavaScriptアクセスを防ぐことであり、XmlHttpRequestオブジェクトを介してJavaScript経由でCookieを取得できる場合、HttpOnlyのポイントは何ですか？

編集3：ウィキペディアからの引用は次のとおりです。

ブラウザがそのようなCookieを受信すると、次のHTTP交換では通常どおりに使用することになっていますが、クライアント側のスクリプトには表示されません。[32] フラグは標準のHttpOnly一部ではなく、すべてのブラウザに実装されているわけではありません。現在、XMLHTTPRequestを介してセッションCookieを読み書きすることを妨げるものはないことに注意してください。[33]。

document.cookieHttpOnlyを使用すると、それがブロックされることを理解しています。ただし、XMLHttpRequestオブジェクトでCookie値を読み取ることができるようで、XSSが可能です。HttpOnlyはどのようにあなたをより安全にしますか？クッキーを本質的に読み取り専用にすることによって？

あなたの例では、私はあなたに書き込むことはできませんがdocument.cookie、それでもあなたのクッキーを盗み、XMLHttpRequestオブジェクトを使用して私のドメインに投稿することはできます。

編集4：申し訳ありませんが、XMLHttpRequestをStackOverflowドメインに送信し、getAllResponseHeaders（）の結果を文字列に保存し、Cookieを正規表現して、外部ドメインに投稿できることを意味しました。ウィキペディアとha.ckersはこれについて私に同意しているようですが、私は再教育されたいと思っています...

最終編集：ああ、どうやら両方のサイトが間違っているようです。これは実際にはFireFoxのバグです。IE6と7は、実際には現在HttpOnlyを完全にサポートしている唯一のブラウザーです。

私が学んだすべてを繰り返すために：

• HttpOnlyは、IE7およびFireFoxのdocument.cookieへのすべてのアクセスを制限します（他のブラウザーについては不明）
• HttpOnlyは、IE7のXMLHttpObject.getAllResponseHeaders（）の応答ヘッダーからCookie情報を削除します。
• XMLHttpObjectsは、元のドメインにのみ送信できるため、Cookieのドメイン間の投稿はありません。

編集：この情報はおそらく最新ではありません。

Cookie の保護に関するJeff のブログ投稿: HttpOnlyを読んだ後。Web アプリケーションに HttpOnly Cookie を実装したいと考えています。

セッションに http のみの Cookie を使用するように tomcat に指示するにはどうすればよいですか?

この CodingHorror の記事「Cookie の保護: HttpOnly」に触発されました。

このプロパティをどのように設定しますか? Web構成のどこかに？

PHP apps自分のCookieをとして設定するにはどうすればよいHttpOnly cookiesですか？

ユーザーが投稿できる小さな会社の小さなイントラネット サイトに取り組んでいます。人々がメールアドレスを入力するだけで、一意のログイン URL が送信され、将来のリクエストのために常に識別される Cookie が設定される、非常に単純な認証メカニズムを想像しました。

私のテンプレート設定では base.html があり、他のページはこれを拡張しています。base.html にログインまたは登録ボタンを表示したいのですが、必要な変数が常にコンテキストの一部であることを確認するにはどうすればよいですか? 各ビューは好きなようにコンテキストを設定しているようで、グローバルなコンテキスト人口はありません。各コンテキスト作成にユーザーを含めずにこれを行う方法はありますか?

または、コンテキストを適切にセットアップするために独自のカスタム ショートカットを作成する必要がありますか?

これを読んだ後、少し興味がありました/。HTTPSCookieの乗っ取りに関する記事。私はそれを少し追跡しました、そして私が見つけた良いリソースはここでクッキーを保護するためのいくつかの方法をリストします。adsutilを使用する必要がありますか、それともweb.configのhttpCookiesセクションでrequireSSLを設定すると、他のすべてのCookie（ここで説明）に加えてセッションCookieがカバーされますか？セッションをさらに強化するために検討すべきことは他にありますか？