Windows 10 Insider Previewがsame-site cookieをサポート
タレコミ by headless
headless 曰く、
Windows 10 Insider Preview ビルド17672で、「same-site」cookieのサポートが追加された(Microsoft Edge Dev Blogの記事、 Windows Experience Blogの記事、 Neowinの記事、 Softpediaの記事)。
same-site cookieは、「SameSite」属性をcookieに追加することで他サイトに対するリクエストでのcookie送信を制御するもので、IETFが策定を進めている。現在は他サイトにリクエストを送る場合、送信先サイトのcookieがリクエストの一部として送信される。この仕組みはCSRF攻撃で悪用されることもあるが、SameSite属性を使用すれば攻撃を防ぐことが可能となる。
SameSite属性で有効な値は「strict」と「lax」の2種類。strictではナビゲーションを含むすべてのクロスサイトリクエストでcookieをブロックするため、強力なCSRF攻撃防御が可能になる一方、既存のセッション管理システムとの互換性が失われる可能性もある。この問題を回避するため、laxではクロスサイトリクエストでトップレベルのナビゲーションが発生した場合のみcookieを送信する。ただし、攻撃者はポップアップウインドウなどを使用してsame-siteリクエストを作り出すことが可能だ。
今後、Windows 10 Creators Update以降のMicrosoft EdgeとInternet Explorer 11(IE)にサポートを追加していく計画だという。ただし、same-site cookieをサポートしないWebブラウザーではこの属性を無視するため、動作に問題が発生することはない。なお、ビルド17672のsame-site cookieサポートについて、Microsoft EdgeチームはEdgeのみと説明しているが、Windows InsiderチームではEdgeおよびIEでサポートされると説明している。
Windows 10 Insider Previewがsame-site cookieをサポート More ログイン