情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ 問9: Cookie に secure 属性を付けなかったときと比較した，付けたときの動作の差はどれか。

問題本文

Cookie に secure 属性を付けなかったときと比較した，付けたときの動作の差はどれか。

選択肢

• ア.Cookie に指定された有効期間を過ぎると，Cookie が無効化される。
• イ.JavaScript による Cookie の読出しが禁止される。
• ウ.URL のスキームが https のページのときだけ，Web ブラウザから Cookie が送出される。
• エ.Web ブラウザがアクセスする URL 内のパスと Cookie によって指定されたパスのプレフィックスが一致するとき，Web ブラウザから Cookie が送出される。

正解

ウ. URL のスキームが https のページのときだけ，Web ブラウザから Cookie が送出される。

解説

Cookieのsecure属性を付けると、そのCookieはHTTPS(暗号化された通信)のときだけブラウザから送出され、平文HTTPでは送られない。これにより盗聴によるCookie漏えいを防ぐ。よってウが正解。実務ではセッションCookieにsecureとHttpOnlyを併用し、盗聴とスクリプト窃取の双方を防ぐ。

選択肢ごとの解説

• ア.有効期間による無効化はExpires/Max-Ageの働きで、secure属性とは無関係。
• イ.JavaScriptからの読出し禁止はHttpOnly属性の効果でsecureではない。
• ウ.httpsのときだけCookieを送出する点がsecure属性の動作で正解。
• エ.パスのプレフィックス一致で送出を制御するのはPath属性の働きで誤り。