情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度春期 午前Ⅱ 問11: cookie に secure 属性を設定しなかったときと比較した，設定したときの動作の差として，適切なものはどれか。

問題本文

cookie に secure 属性を設定しなかったときと比較した，設定したときの動作の差として，適切なものはどれか。

選択肢

• ア.cookie に設定された有効期間を過ぎると，cookie が無効化される。
• イ.JavaScript による cookie の読出しが禁止される。
• ウ.URL のスキームが https のときだけ，Web ブラウザから cookie が送出される。
• エ.Web ブラウザがアクセスする URL 内のパスと cookie に設定されたパスのプレフィックスが一致するとき，Web ブラウザから cookie が送出される。

正解

ウ. URL のスキームが https のときだけ，Web ブラウザから cookie が送出される。

解説

cookieのsecure属性は、HTTPS(URLスキームがhttps)のときだけブラウザがcookieを送出させる設定で、平文HTTP通信での盗聴によるcookie漏えいを防ぐ。これを述べたウが正しい。スクリプトからの読出し禁止はHttpOnly、送出範囲の限定はpath属性など、それぞれ別属性の役割である点を区別しておくとよい。

選択肢ごとの解説

• ア.有効期間経過で無効になるのはexpires/max-ageの働きで、secure属性の動作ではない。
• イ.JavaScriptからの読出しを禁止するのはHttpOnly属性で、secure属性の効果ではない。
• ウ.httpsのときだけcookieを送出させ盗聴を防ぐsecure属性の正しい動作で、正解。
• エ.URLパスのプレフィックス一致で送出を制御するのはpath属性で、secure属性とは異なる。