ALB が生成する Cookie(AWSALB、AWSALBCORS)をユーザー側で変更可能か教えてください

ALB が生成する Cookie(AWSALB、AWSALBCORS)をユーザー側で変更可能か教えてください

Clock Icon2023.11.08

困っていた内容

ALB で稼働するWebサービスにセキュリティ診断を実施したところ、ALB が生成する Cookie(AWSALB、AWSALBCORS)について以下のような指摘がありました。

  • SameSite=Lax もしくは SameSite=Strict を指定してください
  • secure属性やHttpOnly属性を付与してください など

AWS が生成する Cookie に対して、ユーザー側で属性の変更や追加を行うことは可能でしょうか?

どう対応すればいいの?

ALB が生成する Cookie は暗号化されているため、ユーザー側で属性の変更や追加を行うことはできません。

参考:Application Load Balancer のスティッキーセッション

ロードバランサーが生成した Cookie の内容は、回転キーを使用して暗号化されます。ロードバランサーが生成した Cookie を復号化または変更することはできません。

ただしこれらの Cookie は、ALBがセッションを維持(ターゲットを識別)するための情報のみ含んでおり、ユーザーの機密情報は含まれておりません。また、ターゲットに関する情報もローテーションキーを使用して暗号化されており、ALB 外部で復号や編集を行うことはできません。

従いまして当該 Cookie にsecure属性やHttpOnly属性がないことが、実際にセキュリティ上の問題となることはないとお考えください。

参考資料

アノテーション株式会社について

アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。

この記事をシェアする

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.