困っていた内容
ALB で稼働するWebサービスにセキュリティ診断を実施したところ、ALB が生成する Cookie(AWSALB、AWSALBCORS)について以下のような指摘がありました。
- SameSite=Lax もしくは SameSite=Strict を指定してください
- secure属性やHttpOnly属性を付与してください など
AWS が生成する Cookie に対して、ユーザー側で属性の変更や追加を行うことは可能でしょうか?
どう対応すればいいの?
ALB が生成する Cookie は暗号化されているため、ユーザー側で属性の変更や追加を行うことはできません。
参考:Application Load Balancer のスティッキーセッション
ロードバランサーが生成した Cookie の内容は、回転キーを使用して暗号化されます。ロードバランサーが生成した Cookie を復号化または変更することはできません。
ただしこれらの Cookie は、ALBがセッションを維持(ターゲットを識別)するための情報のみ含んでおり、ユーザーの機密情報は含まれておりません。また、ターゲットに関する情報もローテーションキーを使用して暗号化されており、ALB 外部で復号や編集を行うことはできません。
従いまして当該 Cookie にsecure属性やHttpOnly属性がないことが、実際にセキュリティ上の問題となることはないとお考えください。
参考資料
アノテーション株式会社について
アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。
56
