情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和元年度秋期 午前Ⅱ 問11: Cookie に Secure 属性を設定しなかったときと比較した，設定したときの動作として，適切なものはどれか。

問題本文

Cookie に Secure 属性を設定しなかったときと比較した，設定したときの動作として，適切なものはどれか。

選択肢

• ア.Cookie に設定された有効期間を過ぎると，Cookie が無効化される。
• イ.JavaScript による Cookie の読出しが禁止される。
• ウ.URL 内のスキームが https のときだけ，Web ブラウザから Cookie が送出される。
• エ.Web ブラウザがアクセスする URL 内のパスと Cookie に設定されたパスのプレフィックスが一致するときだけ，Web ブラウザから Cookie が送出される。

正解

ウ. URL 内のスキームが https のときだけ，Web ブラウザから Cookie が送出される。

解説

CookieのSecure属性は、HTTPS(暗号化)通信時にのみブラウザがそのCookieを送出させる設定。これによりHTTP(平文)経路での盗聴によるCookie漏えいを防ぐ。よってウが正解。有効期間はExpires/Max-Age、JavaScriptからの読出し禁止はHttpOnly、パス一致はPath属性の機能で別物。実務ではセッションCookieにSecureとHttpOnlyを併用するのが基本。

選択肢ごとの解説

• ア.有効期間で無効化されるのはExpiresやMax-Age属性の働きで、Secure属性の動作ではない。
• イ.JavaScriptからの読出しを禁止するのはHttpOnly属性であり、Secure属性ではない。
• ウ.スキームがhttpsのときだけCookieを送出させるのがSecure属性の動作で、これが正解。
• エ.URLパスのプレフィックス一致で送出を制御するのはPath属性の機能で、Secure属性ではない。