Cookie.pdf

Transcript

1. Cookie とローカルストレ ージのセキュリティ このプレゼンテーションでは、Cookie とローカルストレージのセキュリティ に焦点を当て、それぞれの基本、セキュリティ特性、およびリスクについて 説明します。 by ko naito

2. 目次 Cookie とローカルストレージの基本 1. Cookie のセキュリティ特性 2. ローカルストレージのセキュリティリスク 3.

3. Cookie とローカルストレージの基本 1 Cookie の定義 "Web サーバーによってユーザーのコン ピュータに保存される小さなデータ 片。主にセッション管理、ユーザー認 証、ユーザー設定の保持に利用されま

   す。" 2 ローカルストレージの役割 "Web アプリケーションのデータをブラ ウザ上に永続的に保存する仕組み。デ ータの大量保存やオフラインデータ管 理に適しています。" 3 Cookie とローカルストレージの違い 有効期限 (Expiration): Cookie: 有効期限を設定可能で、期限が過ぎると自動的に削除。ローカルストレージ: 明 示的な削除操作がない限り永続的にデータを保持。 データ容量 (Storage Capacity): Cookie: 通常は数キロバイトまでの制限。ローカルストレージ: 数メガバイトから数十メ ガバイトまでの大容量データ保存が可能。 サーバーへの送信: Cookie: HTTP リクエストヘッダに含まれてサーバーに送信。ローカルストレージ: ブラ ウザ内で完全にクライアント側で管理され、自動的にサーバーに送信されない。 利用目的: Cookie: セッション管理、ユーザー認証、トラッキングなど。サーバーサイドで利用可 能。ローカルストレージ: クライアントサイドでのデータ保存、オフラインデータキャ ッシュ、アプリケーション設定の保存など。

4. Cookie のセキュリティ特性 1 HttpOnly 属性 "HttpOnly 属性を持つ Cookie はJavaScript からア

   クセス不可能。XSS 攻撃に よる情報漏洩を防ぎま す。" 2 Secure 属性と SameSite 属性 "Secure 属性によりHTTPS 経由のみアクセス可能。 SameSite 属性はCSRF 攻撃 を防ぐ効果があります。" 3 サーバーサイドでの 利用 " サーバーサイドプログラ ミングでのCookie 操作。 セッションID や認証デー タの安全な管理に役立ち ます。"

5. ローカルストレージのセキュリティリ スク 1 XSS の脆弱性 "XSS 攻撃により、ローカルストレージ のデータが漏洩するリスクがありま す。" "

   攻撃者がウェブアプリケーション内に 不正なスクリプトを挿入し、ユーザー のブラウザ内のローカルストレージに アクセスすることが可能です。" 2 データの暗号化の重要性 " ローカルストレージには暗号化機能が ないため、重要なデータの保存には注 意が必要です。" " 暗号化を使用することで、データの保 護とセキュリティ向上が図れます。"