情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅱ 問10: WebサーバがHTTPS通信の応答でcookieにSecure属性を設定したときのブラウザの処理はどれか。

問題本文

WebサーバがHTTPS通信の応答でcookieにSecure属性を設定したときのブラウザの処理はどれか。

選択肢

• ア.ブラウザは，cookieの“Secure=”に続いて指定された時間を参照し，指定された時間を過ぎている場合にそのcookieを削除する。
• イ.ブラウザは，cookieの“Secure=”に続いて指定されたホスト名を参照し，指定されたホストにそのcookieを送信する。
• ウ.ブラウザは，cookieの“Secure”を参照し，HTTPS通信時だけそのcookieを送信する。
• エ.ブラウザは，cookieの“Secure”を参照し，ブラウザの終了時にそのcookieを削除する。

正解

ウ. ブラウザは，cookieの“Secure”を参照し，HTTPS通信時だけそのcookieを送信する。

解説

cookieのSecure属性は、そのcookieをHTTPS（暗号化）通信時にのみブラウザが送信するよう指示する仕組み。平文HTTPでは送られないため、セッションIDなどの盗聴を防げる。ウが正解。実務ではHttpOnly属性と併用し、XSSや盗聴によるセッションクッキー窃取への多層的な対策とする。

選択肢ごとの解説

• ア.有効期限の指定はExpires/Max-Age属性で行うもので、Secureに値を続ける形式ではないため誤り。
• イ.送信先ホストの指定はDomain属性の役割で、Secureはホスト名を伴わないため誤り。
• ウ.Secure属性によりHTTPS通信時だけcookieを送信するというブラウザの正しい挙動を述べており正しい。
• エ.ブラウザ終了時の削除はセッションcookie（有効期限なし）の挙動で、Secureの機能ではないため誤り。