- PR -

Cookieにsecureフラグを付加できない

1
投稿者投稿内容
さき
会議室デビュー日: 2005/07/13
投稿数: 12
投稿日時: 2006-02-06 19:33
お世話になっております。
Securityの方の会議室と迷ったのですが、こちらに投稿させていただきます。

Windows Server 2003
IIS 6.0
.NET Framework 1.1
ASP.NET
の環境でWebアプリケーションを開発・運用しています。

脆弱性を洗い出していて、Cookieにsecureフラグがないまま発行されている為、
HTTPS接続なのですがHTTPで接続すればCookie値が取得できてしまうと指摘され、
それに対応することになりました。
CookieはSession関数の部分で使用しています。

色々調べまして、Web.configに

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.web>
<authentication mode="Forms">
<forms loginUrl="login.aspx" protection="All" timeout="10" name="AppCookie" requireSSL="true" />
</authentication>
<customErrors mode="Off" defaultRedirect="error.aspx" />
<compilation debug="true"/>
<trace enabled="true" requestLimit="20" pageOutput="false" traceMode="SortByTime" localOnly="false" />
</system.web>
</configuration>

という感じで、forms要素でrequireSSL="true"を設定しました。

確認は、IEのツール-インターネットオプションを選択し、
プライバシータブ-詳細設定で
・ 自動Cookie処理を上書きするにチェック
・ ダイアログを表示するにチェック
として、Webアプリケーションを実行してみました。

プライバシーの警告というダイアログが出るので、そこの「詳細情報」ボタンを
クリックし、「セキュリティ保護」欄を確認したところ、「いいえ」となっていました。
ここが「はい」であると、secureフラグが付加されている状態だそうです。

色々調査しているのですが、手詰まりになってきてしまいました。
SSLがインストールされているのがWebサーバーではなくISAサーバーだからではないか?
という意見もあるのですが、HTTPの状態でCookieが取得できているので、
そこは関係ないと考えています。

ちなみに、そこ以外のWeb.configの値は有効になっています。
(例えば、カスタムエラー時のリダイレクトページは効いています)

どなたかお心当たりがある方がいらっしゃいましたら、ご助言ください。
よろしくお願いいたします。
さき
会議室デビュー日: 2005/07/13
投稿数: 12
投稿日時: 2006-02-08 17:39
すみません!できました!!
原因は、Session関数を使っている時に発行されるCookieのデフォルトの名前と
formsのnameで指定している名前が違うというだけの、つまらないものでした。
どうもお騒がせしました。
1

スキルアップ/キャリアアップ(JOB@IT)