情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅱ 問13: WebサーバがHTTPS通信の応答でCookieにSecure属性を設定したときのブラウザの処理はどれか。

問題本文

WebサーバがHTTPS通信の応答でCookieにSecure属性を設定したときのブラウザの処理はどれか。

選択肢

• ア.ブラウザは，Cookieの“Secure=”に続いて指定された時間を参照し，指定された時間を過ぎている場合にそのCookieを削除する。
• イ.ブラウザは，Cookieの“Secure=”に続いて指定されたホスト名を参照し，指定されたホストにそのCookieを送信する。
• ウ.ブラウザは，Cookieの“Secure”を参照し，HTTPS通信時だけそのCookieを送信する。
• エ.ブラウザは，Cookieの“Secure”を参照し，ブラウザの終了時にそのCookieを削除する。

正解

ウ. ブラウザは，Cookieの“Secure”を参照し，HTTPS通信時だけそのCookieを送信する。

解説

CookieのSecure属性は、そのCookieをHTTPS(暗号化)通信のときだけブラウザが送信するよう指示するフラグ。これにより平文HTTP上での盗聴によるセッションCookie漏えいを防ぐ。よってHTTPS時だけ送信するウが正しい。実務ではセッションCookieにSecureとHttpOnlyを併用し、傍受とスクリプト読取りの双方を抑止する。

選択肢ごとの解説

• ア.有効時間で削除を制御するのはExpires/Max-Age属性の働きで、Secureに値や時間は伴わない。
• イ.送信先ホストを指定するのはDomain属性の役割であり、Secureはホスト指定をしない。
• ウ.Secure属性によりHTTPS通信時に限ってCookieを送信する点を正しく述べており正解。
• エ.ブラウザ終了時に削除されるのは有効期限を指定しないセッションCookieの挙動で、Secureとは無関係。