-
脆弱性診断で「HTTPS通信時cookieにsecure属性が付与されていない」旨の指摘があったため、対策方法を教えてください。 ProselfではHTTPS通信時にcookieにsecure属性が付与するよう対応を行っておりますが、前段にあるSSLアクセラレーターやSSLアクセラレーター機能を持つ負荷分散装置等によりSSLが終端している場合、ProselfはHTTPで通信を行うことになるためsecure属性が付与されません。
そのため、上記に該当する場合は以下手順を実施し、HTTP通信時もcookieにsecure属性を付与するよう設定変更する必要がございます。
-
Proselfインストールフォルダ/conf/server.xml のバックアップを取得します。
※バックアップファイル名は末尾が.xmlとならないようserver.xml.yyyymmdd 等としてください。(yyyymmddは日付形式)
-
Proselfインストールフォルダ/conf/server.xml の67行目付近にある部分を以下内容で編集します。
<編集前>
<Connector port="80" protocol="HTTP/1.1"<編集後>
maxThreads="150"
connectionTimeout="60000"
disableUploadTimeout="true" URIEncoding="UTF-8"/>
<Connector port="80" protocol="HTTP/1.1"※ secure="true"を追加します。
maxThreads="150"
connectionTimeout="60000"
disableUploadTimeout="true" secure="true" URIEncoding="UTF-8"/>
なお、負荷分散装置やセキュリティ機器がProselfとの接続にHTTP/1.1を使用している場合は、以下のように編集ください。
<Connector port="80" protocol="HTTP/1.1"※ scheme="https" secure="true"を追加します。
maxThreads="150"
connectionTimeout="60000"
disableUploadTimeout="true" scheme="https" secure="true" URIEncoding="UTF-8"/>
-
Proselfのサービスを再起動します。
-
ブラウザでProselfにアクセスし、ブラウザの開発者ツールでcookieにsecure属性が付与されていることを確認します。
なお、上記設定変更後、SSLアクセラレーターやSSLアクセラレーター機能を持つ負荷分散装置等を経由せずにProselfに直接アクセスする場合、HTTP通信ではProselfにログインすることができなくなります。
メンテナンス等で直接Proselfにアクセスする必要がある場合は、HTTPS通信をご利用ください。
(最終更新日:2024/09/24) -
Proselfインストールフォルダ/conf/server.xml のバックアップを取得します。