常時SSLでもCookieの改ざんはできるワケ

第35弾

以前、下記のブログで解説したよう常時SSLでもCookieの改変はできてしまいます。その後のブラウザ側の改善はあるものの、Cookieの改変は現在でも十分防げるわけではありません。

後半では、SafariとGoogle Chrome（およびFirefox）の挙動の違いについてデモを交えて詳しく説明します。

本日お伝えしたいこと

• Cookieの盗聴を防ぐためにCookieのSecure属性が重要でした（前回の内容）
• CookieのSecure属性を付与していても、盗聴は防げても、改ざんは防げないことを説明します
• 最近のブラウザの対応状況についても解説します

HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
https://blog.tokumaru.org/2013/09/cookie-manipulation-is-possible-even-on-ssl.html

動画：常時SSLでもCookieの改ざんはできるワケ