検索 
       
[V5] 脆弱性診断で「HTTPS通信時cookieにsecure属性が付与されていない」旨の指摘があったため、対策方法を教えてください。

ProselfではHTTPS通信時にcookieにsecure属性が付与するよう対応を行っておりますが、前段にあるSSLアクセラレーターやSSLアクセラレーター機能を持つ負荷分散装置等によりSSLが終端している場合、ProselfはHTTPで通信を行うことになるためsecure属性が付与されません。

そのため、上記に該当する場合は以下手順を実施し、HTTP通信時もcookieにsecure属性を付与するよう設定変更する必要がございます。

  1. Proselfインストールフォルダ/conf/server.xml のバックアップを取得します。
    ※バックアップファイル名は末尾が.xmlとならないようserver.xml.yyyymmdd 等としてください。(yyyymmddは日付形式)
    ※Proselfインストールフォルダの確認方法につきましては以下FAQをご参照ください。
    https://www.proself.jp/support/faq433/
  2. Proselfインストールフォルダ/conf/server.xml の67行目付近にある部分を以下内容で編集します。
    <編集前>
    <Connector port="80" protocol="HTTP/1.1"
    maxThreads="150"
    connectionTimeout="60000"
    disableUploadTimeout="true" URIEncoding="UTF-8"/>
    <編集後>
    <Connector port="80" protocol="HTTP/1.1"
    maxThreads="150"
    connectionTimeout="60000"
    disableUploadTimeout="true" secure="true" URIEncoding="UTF-8"/>
    secure="true"を追加します。

    なお、負荷分散装置やセキュリティ機器がProselfとの接続にHTTP/1.1を使用している場合は、以下のように編集ください。
    <Connector port="80" protocol="HTTP/1.1"
    maxThreads="150"
    connectionTimeout="60000"
    disableUploadTimeout="true" scheme="https" secure="true" URIEncoding="UTF-8"/>
    scheme="https" secure="true"を追加します。
  3. Proselfのサービスを再起動します。
  4. ブラウザでProselfにアクセスし、ブラウザの開発者ツールでcookieにsecure属性が付与されていることを確認します。

なお、上記設定変更後、SSLアクセラレーターやSSLアクセラレーター機能を持つ負荷分散装置等を経由せずにProselfに直接アクセスする場合、HTTP通信ではProselfにログインすることができなくなります。
メンテナンス等で直接Proselfにアクセスする必要がある場合は、HTTPS通信をご利用ください。

(最終更新日:2024/09/24)