- PR -

Cookieにsecureフラグを付加できない

投稿者	投稿内容
さき会議室デビュー日: 2005/07/13 投稿数: 12	投稿日時: 2006-02-06 19:33 お世話になっております。 Securityの方の会議室と迷ったのですが、こちらに投稿させていただきます。 Windows Server 2003 IIS 6.0 .NET Framework 1.1 ASP.NET の環境でWebアプリケーションを開発・運用しています。脆弱性を洗い出していて、Cookieにsecureフラグがないまま発行されている為、 HTTPS接続なのですがHTTPで接続すればCookie値が取得できてしまうと指摘され、それに対応することになりました。 CookieはSession関数の部分で使用しています。色々調べまして、Web.configに <?xml version="1.0" encoding="utf-8" ?> <configuration> <system.web> <authentication mode="Forms"> <forms loginUrl="login.aspx" protection="All" timeout="10" name="AppCookie" requireSSL="true" /> </authentication> <customErrors mode="Off" defaultRedirect="error.aspx" /> <compilation debug="true"/> <trace enabled="true" requestLimit="20" pageOutput="false" traceMode="SortByTime" localOnly="false" /> </system.web> </configuration> という感じで、forms要素でrequireSSL="true"を設定しました。確認は、IEのツール-インターネットオプションを選択し、プライバシータブ-詳細設定で・　自動Cookie処理を上書きするにチェック・　ダイアログを表示するにチェックとして、Webアプリケーションを実行してみました。プライバシーの警告というダイアログが出るので、そこの「詳細情報」ボタンをクリックし、「セキュリティ保護」欄を確認したところ、「いいえ」となっていました。ここが「はい」であると、secureフラグが付加されている状態だそうです。色々調査しているのですが、手詰まりになってきてしまいました。 SSLがインストールされているのがWebサーバーではなくISAサーバーだからではないか？という意見もあるのですが、HTTPの状態でCookieが取得できているので、そこは関係ないと考えています。ちなみに、そこ以外のWeb.configの値は有効になっています。（例えば、カスタムエラー時のリダイレクトページは効いています）どなたかお心当たりがある方がいらっしゃいましたら、ご助言ください。よろしくお願いいたします。
さき会議室デビュー日: 2005/07/13 投稿数: 12	投稿日時: 2006-02-08 17:39 すみません！できました！！原因は、Session関数を使っている時に発行されるCookieのデフォルトの名前と formsのnameで指定している名前が違うというだけの、つまらないものでした。どうもお騒がせしました。

投稿者

投稿内容

さき: 会議室デビュー日: 2005/07/13; 投稿数: 12

投稿日時: 2006-02-06 19:33

お世話になっております。
Securityの方の会議室と迷ったのですが、こちらに投稿させていただきます。

Windows Server 2003
IIS 6.0
.NET Framework 1.1
ASP.NET
の環境でWebアプリケーションを開発・運用しています。

脆弱性を洗い出していて、Cookieにsecureフラグがないまま発行されている為、
HTTPS接続なのですがHTTPで接続すればCookie値が取得できてしまうと指摘され、
それに対応することになりました。
CookieはSession関数の部分で使用しています。

色々調べまして、Web.configに

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.web>
<authentication mode="Forms">
<forms loginUrl="login.aspx" protection="All" timeout="10" name="AppCookie" requireSSL="true" />
</authentication>
<customErrors mode="Off" defaultRedirect="error.aspx" />
<compilation debug="true"/>
<trace enabled="true" requestLimit="20" pageOutput="false" traceMode="SortByTime" localOnly="false" />
</system.web>
</configuration>

という感じで、forms要素でrequireSSL="true"を設定しました。

確認は、IEのツール-インターネットオプションを選択し、
プライバシータブ-詳細設定で
・　自動Cookie処理を上書きするにチェック
・　ダイアログを表示するにチェック
として、Webアプリケーションを実行してみました。

プライバシーの警告というダイアログが出るので、そこの「詳細情報」ボタンを
クリックし、「セキュリティ保護」欄を確認したところ、「いいえ」となっていました。
ここが「はい」であると、secureフラグが付加されている状態だそうです。

色々調査しているのですが、手詰まりになってきてしまいました。
SSLがインストールされているのがWebサーバーではなくISAサーバーだからではないか？
という意見もあるのですが、HTTPの状態でCookieが取得できているので、
そこは関係ないと考えています。

ちなみに、そこ以外のWeb.configの値は有効になっています。
（例えば、カスタムエラー時のリダイレクトページは効いています）

どなたかお心当たりがある方がいらっしゃいましたら、ご助言ください。
よろしくお願いいたします。

さき: 会議室デビュー日: 2005/07/13; 投稿数: 12

投稿日時: 2006-02-08 17:39

すみません！できました！！
原因は、Session関数を使っている時に発行されるCookieのデフォルトの名前と
formsのnameで指定している名前が違うというだけの、つまらないものでした。
どうもお騒がせしました。

＠IT SpecialPR

Cookieにsecureフラグを付加できない

スキルアップ／キャリアアップ（JOB@IT）